Názory k článku
Vězníme SSH
-
jojolaser (neregistrovaný)A na co je to dobre? Ved SSH sa pouziva prevazne na administraciu, tak co budem v chroote robit? Naviac http://www.citi.umich.edu/u/provos/ssh/privsep.html
-
anonymníMe se zase nelibi patchovani SSH. V zasade mam celkem dve lepsi moznosti, jak udelat chrooty obecne pro cokoliv:
1) umistit ssh s knihovnama do chrootu (napr. pomoci http://www.jmcresearch.com/projects/jail/ Jail Chroot Project) - to se hodi zejmena na zpristupneni systemu pres ssh/scp jinym uzivatelum napr. jenom pro ukladani souboru na web (misto ftp pristupu), jinak s tim nastrojem by melo jit dat do jailu dalsi veci, debian ma myslim taky nejaky svuj nastroj na jailovani sluzeb
2) udelat primo cely chroot prostredi, napr. instalaci debiana pomoci debootstrap - tady je vyhoda, ze se to chova jako normalni virtualni system, samozrejme sdili to pamet a disk s rootovym systemem (ale je mozne samozrejme vymezit nejaky spesl oddil). -
Lukáš TurekStříbrný podporovatelVýznam by to mělo, kdyby to fungovalo bez nastavování chroot prostředí, tak jako klasické FTP. Ale jestli jsem ten návod pochopil správně, tak to potřebuje konfigurovat chroot, a pak už je jednodušší použít rssh nebo scponly.
Neznáte někdo SFTP server, který by uměl chroot sám od sebe, a obešel se tedy bez nahrávání binárek do chrootu? -
Milan K. (neregistrovaný)Co třeba komerční aplikace, běžící na Vašem serveru, ale vyžadující dálkovou správu třetí stranou? Tehdy je to jako dar z nebes; nechápu, že OpenSSH něco takového neintegruje již dávno; právě tak jako třeba rate-limiter proti opakovaným brute-force pokusům od script-kiddiez (ale to už je OT)...
-
Milan K. (neregistrovaný)Jinak, ten sshJail je sice fajn, ale na můj vkus je to také příliš velký zásah do OpenSSH. Oproti tomu třeba projekt ChrootSSH (http://chrootssh.sourceforge.net) již existuje nějaký ten rok, a patch do OpenSSH je opravdu minimalistický; zdali chrootnout nebo ne se rozhoduje na základě toho, jakým způsobem má uživatel definován svůj homedir - pokud cesta k homediru obsahuje '/./', pak se cesta před tečkou považuje za kořen, do kterého má sshd uživatele chrootnout, a zbytek pak za jeho domovský adresář.
Nezbývá si než vzdychnout, že možnost chrootování uživatelů po zalogování přímo v OpenSSH v něm dodnes schází... -
priznam - necetl jsem to...
...ale mam tuto rad jak vynutit sftp pro uzivatele:
man sshd_config (direktivy Match a ForceCommand)
...a jak na chrootnuti uzivatele pri sftp?
nezkousel jsem... ale teoreticky by slo udelat wrapper script u ForceCommand, ktery bude obsahovat RBAC policy urcujici, kam uzivatel muze vstoupit a kam zapisovat...
Vice prace, ale dle meho soudu cistsi reseni :)
ČLÁNKY DO MAILU