LINUX.ORG.RU
ФорумAdmin

SSH-chroot


0

2

Потребовалось мне пустить на свой домашний сервачок человека по ssh. Очень не хочется давать ему доступ ко всей файловой системе. Как мне элегантно зачрутовать его ssh-сессии? Загугленные статьи рассказывают об ssh древнем, как говно мамонта.

Дистр Ubuntu 10.04.

★★★★★
[gentoo] /bin/sh: nar: command not found
[configi] где в Gnome хранит настройку языка интерфейса?
Ответ на: комментарий от xorik

после данных инструкций пользователь вообще залогиниться не может:

ivan@xxxxxxx.com's password:
Write failed: Broken pipe

Ingwar ★★★★★
() автор топика
Ответ на: комментарий от Ingwar

> после данных инструкций пользователь вообще залогиниться не может:
Залогиниться сможет (если правильно настроил), а вот получить шелл нет.
Если настроишь всё как по ссылке, то будет работать только sftp.

Создай этому чувачку chroot окружение и загони это туда с помощью ChrootDirectory как в примере, только ForceCommand не используй.

Вариант 2:
Грамотно расставить права на каталоги, например у меня так и сделано.

Nao ★★★★★
()
Ответ на: комментарий от Nao

>Грамотно расставить права на каталоги, например у меня так и сделано.

Существует несколько видов атак, от которых права не спасают (см. например, описания опций yama при конфигурировании ведра).

От рутового сплойта, разумеется, не спасут не только права, но и чрут. Тут либо selinux, либо контейнеры. Но это уже за рамками обсуждаемой темы.

По сабжу: соответствующие фичи давно в мейнстриме, читай маны и делай юзверю чрут-окружение. Раз у тебя дебиан (с нескучными обоями), проще будет через debootstrap.

anonymous
()
Ответ на: комментарий от anonymous

> От рутового сплойта, разумеется, не спасут не только права, но и чрут. Тут либо selinux, либо контейнеры. Но это уже за рамками обсуждаемой темы.
Не обязательно selinux. Думаю ТСу будет достаточно патчсета GrSecurity без rsbac (ну или с ним, но больше возни). Там есть много вкусняшек для ограничения чрута.
Хотя не в курсе как дела с этим у дебиана. (патчсет не в ванильном ведре)

Nao ★★★★★
()
Ответ на: комментарий от Nao

>Создай этому чувачку chroot окружение и загони это туда с помощью ChrootDirectory как в примере, только ForceCommand не используй.

без ForceCommand он получит почти полный ssh доступ, а не только sftp?

Грамотно расставить права на каталоги, например у меня так и сделано.


честно говоря, не очень хочется заморачиваться.

От рутового сплойта, разумеется, не спасут не только права, но и чрут.


не думаю, что необходимы сложности для предотвращения этого.

Ingwar ★★★★★
() автор топика
Ответ на: комментарий от anonymous

>> честно говоря, не очень хочется заморачиваться.

pffff Накой хрен тогда этот топик?


что тут непонятного? мне нужно не пустить человека выше его домашнего каталога, а не менять всю умолчальную систему прав.

Ingwar ★★★★★
() автор топика
Ответ на: комментарий от Nao

>Создай этому чувачку chroot окружение и загони это туда с помощью ChrootDirectory как в примере, только ForceCommand не используй.

получилось, есть вход по ssh и sftp. единственный бок — не работает shell-соединение в mc, но файлзилла заходит и будя.

Ingwar ★★★★★
() автор топика

в качестве шелла повесь ему скрипт который выполняет chroot а потом запускает bash уже в chroot-окружении. банально вот так:
#!/bin/sh
/usr/bin/chroot /path/to/chroot/environment /bin/bash

Komintern ★★★★★
()
Ответ на: комментарий от Komintern

Уже и так сделали средствами ссш.

Nao ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[gentoo] /bin/sh: nar: command not found
Admin
[configi] где в Gnome хранит настройку языка интерфейса?