Hello,

Ja, man kann SSL benutzen, aber das löst ja nicht das Problem, dass jeder auf dem Host angelegte User dann trotzdem SSH zur Verfügung hat, denn das benötigen wir ja auf jeden Fall und eben leider auch von außen.

warum willst du das Einloggen der User denn unbedingt verhindern?

Es gibt eine Reihe von Usern, die nur einen Filetransfer-Zugang zum Server benötigen.

Der Grundgedanke ist nun der gewesen, für alle das unverschlüsslete FTP zu vermeiden und nur noch sftp (also filetransfer via ssh) zu verwenden.

Bisher gab es FTP. Ich habe dann auf Wunsch den vsftpd eingerichtet und dann fiel mir auf, dass ja jeder User, der auf dem System bekannt ist, auch einen uneingeschränkten ssh-Zugang hat, weil ssh eben auch eingerichtet ist. DAS ist aber für die meisten User nicht erwünscht, während sftp schon erwünscht wäre.

Auch wenn wir jetzt wieder zurückrudern, und nur vsftpd einsetzen oder aber z.B. ProFTPd mit TLS, dann bliebe der SSH-Zugang trotzdem, denn der wird für die wenigen User benötigt, die ihn tatsächlich auch nutzen sollen, inclusive root.

Wie mache ich also das Loch im SSH zu, denn das muss ich auf jeden Fall?

Und wenn ich das schaffe, brauche ich auch keinen ProFTPd mehr, denn dann habe ich SFTP, was für unsere Belange reicht und außerdem den Vorteil hat, dass es besser durch die Firewalls der User passt, denn die sitzen breit verteilt und man muss ggf. nur über Telefon helfen, wie sie denn auf den Server kommen.

Ich hoffe, dass das jetzt mein Problemchen befriedigend beschreibt und mir am Ende doch noch jemand den Schubs in die richtige Richtung geben kann.

Ein harzliches Glückauf

Tom vom Berg