Názory k článku
Konečné řešení SFTP chrootu s OpenSSH: pam_ftpfuck.so
-
faha (neregistrovaný)
Je to potrebne?
OpenSSH ma od verze ~4.8 podporu pro chroot sftp v sobe.
http://www.debian-administration.org/articles/590 -
Je to tak, psal jsem o tom v článku Jak nahradit FTP pomocí SFTP a zamknout uživatele. Taky by mě zajímalo, jakou výhodu má ten PAM modul proti integrovanému řešení.
-
Ve tvym clanku stoji "Jsme téměř u konce. Ještě nesmíme zapomenout nastavit adresáři uživatele jako vlastníka roota a zamezit zápis ostatním uživatelům."
Jak to asi mam aplikovat na normalni system, kde chci aby mel uzivatel normalni home, kterej mu patri? osobne nepovazuju za moc dobrou praktiku nedovolit userovi vytvaret si ve vlastnim homu soubory a adresare :-) prave tohle resi ten modul. kazdymu userovi udela bind home zabalenej v jeste jednom homu kterej patri rootovi. takze uzivatel vidi jenom svuj home do kteryho ale muze plne zapisovat dle libosti.
-
Anonym (neregistrovaný)
Je to bezpecne?
setuid(0); setgid(0);
system("mkdir -p \"$JAIL_DIR/$JAIL_USER/$JAIL_USER\"");
system("chown root:root \"$JAIL_DIR/$JAIL_USER\"");
system("chown \"$JAIL_USER:$JAIL_USER\" \"$JAIL_DIR/$JAIL_USER/$JAIL_USER\"");
system("mountpoint -q \"$JAIL_DIR/$JAIL_USER/$JAIL_USER\" || mount -o bind \"/home/$JAIL_USER\" \"$JAIL_DIR/$JAIL_USER/$JAIL_USER\"");return PAM_SUCCESS;
-
pravdepodobne ne tak uplne. na druhou stranu kazdej retezec co by se tam dal protlacit nejdriv musi nekdo s pravama roota pridat jako usera a ja popravde nemam rad, kdyz ode me nekdo chce abych mu zalozil username ve kterym je neco jinyho nez pismena, cisla a pomlcky.
anyway... patches are welcome :-)
