chrooted sftp (Debian Lenny)

0

0

Для операций с файлами сайта хочу предоставить пользователю sftp. Но шелл ему я давать не хочу, как и возможность смотреть, что лежит вне его домашней дериктории.

Пишу в конфиге sshd так:

AllowUsers www-data

Match User www-data
        ChrootDirectory /var/www
        ForceCommand /usr/lib/openssh/sftp-server

Даю пользователю www-data пароль, меняю ему в /etc/passwd шелл с nologin на bash. Перезапускаю sshd.

Пытаюсь залогиниться с удалённой машины:

obey@damntux ~ % sftp www-data@somedomain.ru
Connecting to somedomain.ru...
www-data@somedomain.ru's password:
subsystem request failed on channel 0
Couldn't read packet: Connection reset by peer

В логах openssh на сервере:

Oct 12 21:02:03 somedomain sshd[529]: error writing /proc/self/oom_adj: Operation not permitted
Oct 12 21:02:04 somedomain sshd[529]: Accepted password for www-data from 78.123.123.123 port 54537 ssh2

Если убрать ChrootDirectory, то всё работает.

Как быть?

Ссылка

←	локальная сеть! инет по vpn

[lvm] Переместить logival volume в другую volume group

→

Конфиг целиком:

# Package generated configuration file    
# See the sshd(8) manpage for details     

# What ports, IPs and protocols we listen for
Port 22                                      
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::                                                           
#ListenAddress 0.0.0.0                                                      
Protocol 2                                                                  
# HostKeys for protocol version 2                                           
HostKey /etc/ssh/ssh_host_rsa_key                                           
HostKey /etc/ssh/ssh_host_dsa_key                                           
#Privilege Separation is turned on for security                             
UsePrivilegeSeparation yes                                                  

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600                         
ServerKeyBits 768                                    

# Logging
SyslogFacility AUTH
LogLevel INFO      

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes   

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes                                     
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no                                             
# similar for protocol version 2                                       
HostbasedAuthentication no                                             
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes                                                    

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no                                     

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)                                           
ChallengeResponseAuthentication no                                        

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes                             

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no   
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

AllowUsers www-data

Match User www-data
        ChrootDirectory /var/www
        ForceCommand /usr/lib/openssh/sftp-server

Obey-Kun ★★★★★
(13.10.09 01:08:55 MSD) автор топика

Ссылка

> дериктории

виноват!

Obey-Kun ★★★★★
(13.10.09 01:14:17 MSD) автор топика

Ответ на: комментарий от Obey-Kun 13.10.09 01:14:17 MSD

Ну а в чрутной директории все подкаталоги созданы? Ну и $SHELL пользовательский присутствует?

SANTA_CLAUS ★★
(13.10.09 10:30:54 MSD)

Ответ на: комментарий от SANTA_CLAUS 13.10.09 10:30:54 MSD

>Ну а в чрутной директории все подкаталоги созданы
конечно же только необходимые :)

SANTA_CLAUS ★★
(13.10.09 10:31:29 MSD)

Ссылка

Ответ на: комментарий от SANTA_CLAUS 13.10.09 10:30:54 MSD

Как мне казалось, chroot'у по sftp этого не нужно.

Но раз оно действительно нужно, тогда лучше vsftpd прикручу. У него jail не такой требовательный. Тогда sshd можно будет удалить вообще с виртуалки.

Obey-Kun ★★★★★
(13.10.09 10:46:17 MSD) автор топика

Ответ на: комментарий от Obey-Kun 13.10.09 10:46:17 MSD

>Как мне казалось, chroot'у по sftp этого не нужно.
я так понимаю, если прога подгружает все нужные файлы и библиотеки, а потом чрутится, то ей не нужно потом что-то дополнительное

dimon555 ★★★★★
(13.10.09 13:06:13 MSD)

Ссылка

Я процитирую man sshd_config:

ChrootDirectory Specifies a path to chroot(2) to after authentication. This path, and all its components, must be root-owned directories that are not writable by any other user or group.
The path may contain the following tokens that are expanded at runtime once the connecting user has been authenticated: %% is replaced by a literal '%', %h is replaced by the home directory of the user being authenticated, and %u is replaced by the username of that user.
The ChrootDirectory must contain the necessary files and directories to support the users' session. For an interactive session this requires at least a shell, typically sh(1), and basic /dev nodes such as null(4), zero(4), stdin(4), stdout(4), stderr(4), arandom(4) and tty(4) devices. For file trans‐ fer sessions using “sftp”, no additional configuration of the environment is necessary if the in- process sftp server is used (see Subsystem for details).
The default is not to chroot(2).

Обращаем внимание на предпоследний абзац и включаем «in-process sftp server»

Вот как выглядит мой конфиг для sftp:

Port 22
Protocol 2
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile	.ssh/authorized_keys
HostbasedAuthentication no
PasswordAuthentication no
PermitEmptyPasswords no
UsePAM yes
GatewayPorts yes
Subsystem sftp internal-sftp
Match User someuser
    X11Forwarding no
    AllowTcpForwarding no
    ChrootDirectory %h
    ForceCommand internal-sftp

$ ls -ld /home/someuser/
drwxr-x--- 9 root someusergroup 4096 2009-09-25 03:17 /home/someuser/

Nao ★★★★★
(13.10.09 14:52:18 MSD)

Ответ на: комментарий от Obey-Kun 13.10.09 10:46:17 MSD

>Как мне казалось, chroot'у по sftp этого не нужно.

>Но раз оно действительно нужно, тогда лучше vsftpd прикручу. У него jail не такой требовательный. Тогда sshd можно будет удалить вообще с виртуалки.

Если используется internal-sftp то не нужно. Подробности выше и в man sshd_config

Nao ★★★★★
(13.10.09 14:53:49 MSD)

Обратите внимание, что /var и /var/www должны быть доступны на запись только руту. Паранойя такая паранойя (:

anarquista ★★★★★
(13.10.09 17:53:26 MSD)

Ответ на: комментарий от Nao 13.10.09 14:53:49 MSD

Так вот оно что!

Заменил sftp-server на internal-sftp и всё запахало.

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

Match User www-data
        ChrootDirectory %h
#       ForceCommand /usr/lib/openssh/sftp-server
        ForceCommand internal-sftp

Obey-Kun ★★★★★
(14.10.09 01:23:02 MSD) автор топика

Ссылка

Ответ на: комментарий от anarquista 13.10.09 17:53:26 MSD

а /var -то почему? Хотя это нормально, вообще сказать :).

Obey-Kun ★★★★★
(14.10.09 01:23:36 MSD) автор топика

Ссылка

Ответ на: комментарий от Nao 13.10.09 14:52:18 MSD

Ё-моё. А нафига пользователю директория, если он в ней новые файлы создавать не сможет? Тут 2 варианта — или переместить директорию с сайтов на 1 уровень ниже, или таки не париться и заюзать ftpd. Вот мне интересно, что секьюрнее — ftp+chroot (и полное отсутствие SSH-сервера) или sftp+chroot...

Obey-Kun ★★★★★
(14.10.09 01:29:35 MSD) автор топика

Ответ на: комментарий от Obey-Kun 14.10.09 01:29:35 MSD

В принципе ведь логин и пароль и там и там передаются в зашифрованном виде, а вот сами данные в случае FTP не шифруются... Но чхать на данные, это ж сайт — даже если и утечёт что-нибудь (например, пароль к базе мускля, который прописан в открытом виде в настройках сайта), то никак это использовать нельзя будет.

Вот что бы вы выбрали? :)

Obey-Kun ★★★★★
(14.10.09 01:32:15 MSD) автор топика