Vznikla první verze PAM modulu FTPFuck, která umožní pohodlné a bezpečně omezit uživatele do SFTP chrootu tak, jak to dřív dělalo scponly. Modul funguje tak, že před přihlášením automaticky bindne uživatelům home adresář do speciálního adresáře (například /var/ssh-chroot/harvie/harvie), přičemž ten vnější je vlastněný rootem a je možné se do něj snadno chrootnout notoricky známou konfigurací OpenSSH (kombinace vynuceného interního sftp a chrootu), která může platit jen pro uživatele v určité skupině (například sftponly). Uživatel vidí po přihlášení jen tento chroot, který je prázdný až na jeho domovský adresář, ke kterému tak má volný přístup.Patche a návrhy na vylepšení (zejména bezpečnosti) jsou vítány.
Konečné řešení SFTP chrootu s OpenSSH: pam_ftpfuck.so
4. 12. 2011
8
nových názorů
Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!
-
faha (neregistrovaný)
Je to potrebne?
OpenSSH ma od verze ~4.8 podporu pro chroot sftp v sobe.
http://www.debian-administration.org/articles/590 -
Je to tak, psal jsem o tom v článku Jak nahradit FTP pomocí SFTP a zamknout uživatele. Taky by mě zajímalo, jakou výhodu má ten PAM modul proti integrovanému řešení.
-
-
Ve tvym clanku stoji "Jsme téměř u konce. Ještě nesmíme zapomenout nastavit adresáři uživatele jako vlastníka roota a zamezit zápis ostatním uživatelům."
Jak to asi mam aplikovat na normalni system, kde chci aby mel uzivatel normalni home, kterej mu patri? osobne nepovazuju za moc dobrou praktiku nedovolit userovi vytvaret si ve vlastnim homu soubory a adresare :-) prave tohle resi ten modul. kazdymu userovi udela bind home zabalenej v jeste jednom homu kterej patri rootovi. takze uzivatel vidi jenom svuj home do kteryho ale muze plne zapisovat dle libosti.
-
Anonym (neregistrovaný)
Je to bezpecne?
setuid(0); setgid(0);
system("mkdir -p \"$JAIL_DIR/$JAIL_USER/$JAIL_USER\"");
system("chown root:root \"$JAIL_DIR/$JAIL_USER\"");
system("chown \"$JAIL_USER:$JAIL_USER\" \"$JAIL_DIR/$JAIL_USER/$JAIL_USER\"");
system("mountpoint -q \"$JAIL_DIR/$JAIL_USER/$JAIL_USER\" || mount -o bind \"/home/$JAIL_USER\" \"$JAIL_DIR/$JAIL_USER/$JAIL_USER\"");return PAM_SUCCESS;
-
pravdepodobne ne tak uplne. na druhou stranu kazdej retezec co by se tam dal protlacit nejdriv musi nekdo s pravama roota pridat jako usera a ja popravde nemam rad, kdyz ode me nekdo chce abych mu zalozil username ve kterym je neco jinyho nez pismena, cisla a pomlcky.
anyway... patches are welcome :-)
Autor zprávičky
-
- Administrátor ICT aplikací - silný prestižní holding CSG
- Správce/správkyně serverů
- ERP Application Analyst (Infor)
- .NET Developer
- PHP developer (medior/senior)
- Communication Framework C++ Developer with Linux knowledge
-
- Firemní korespondence v němčině
- Moderní trendy v HR
- Mluv jako Němec! Kurz německé výslovnosti
- Jak vytvořit skvělý videokurz od A do Z
- Osobní marketing: 3 v 1
- Myšlenkové mapy: jak vizualizovat a utřídit své myšlenky
-
- Analytik / Analytička pro Regionální inovační strategii
- REACT Developer
- PHP developer (medior/senior)
- Communication Framework C++ Developer with Linux knowledge
- Studentská stáž v Brně
- IT administrátor
-
- Moderní trendy v HR
- Mailujte jako profík: věcně, přehledně a v angličtině!
- Seznamy na SharePointu 2: vychytávky pro práci s položkami a seznamem
- Anatomie správného rozhodování
- Osobní marketing: 3 v 1
- Myšlenkové mapy: jak vizualizovat a utřídit své myšlenky
