Создать SSH-юзера шоб не лазил где попало

0

1

Итак, сэры!
Пришёл я вновь к вам за советом мудрым.
Суть такова:
Мне нужно сделать, чтобы один товарищ с ником LOGIN и паролем PASSWORD мог:
1. Залазить по определённому логину/паролю по SSH
2. Сидеть в своей папочке, делать любые операции в ней создавать/удалять файлыв/папки, копировать/перемещать и т.д., короче, полная свобода в отдельно взятой папке, при этом не мог смотреть что находится в каталогах выше.
3. Юзать системные утилиты - chmod, grep, screen, tmux и т.д., опять же - только в пределах своего домика.
4. Юзать вот такую вещь:

mono ololo.exe

(да, мы быдло и пишем на шарпах, уж как есть)
Сам этот ololo.exe юзер загружать будет по FTP.

Так вот, господа, какие ваши мысли по поводу того, как это лучше всего устроить?

В данный момент сделал вот как:
Сделал adduser'ом такого юзера с домиком. Вроде ок, но он всё равно может вылазить за пределы «домика» и смотреть что там.
FTP сделан VSFTPD'ом с виртуальными юзерами. Тут при всех плюсах такая бедень: FTP работает от другого юзера, нежели тот, что лезел в SSH, и получается, что SSH-юзер прав на файлы, залитые по FTP не имеет.

Хотел сделать chroot, но тогда юзер лососнёт тунца, ведь у него не будет даже баша. Как быть с этим?

Ссылка

←	Squid3 аутентификация

[обалдеваю знаниями][openldap] что происходит при вводе машины в домен?

→

Ах да, ОС - Xubuntu 11.10 В принципе самое главное - огородить юзера от всего остальногои чтоб он мог mono юзать, всё остальное - вторично.

ABTOMAT
(26.12.11 20:35:33 MSK) автор топика

Ссылка

apparmor во все поля.

true_admin ★★★★★
(26.12.11 20:44:23 MSK)

Ссылка

Стесняюсь спросить, а что же такого неприличного он увидит за пределами $HOME? Стандартную Xubuntu? Это такой ужас, да?

~~berrywizard~~ ★★★★★
(26.12.11 20:45:23 MSK)

Ссылка

опять же - только в пределах своего домика.

в дефолтной установке, кстати, и так с правами неплохо. Остальное во многом решается нормальной расстановкой прав.

true_admin ★★★★★
(26.12.11 20:45:48 MSK)

И sftp вместо ftp (vsftpd).

~~berrywizard~~ ★★★★★
(26.12.11 20:46:24 MSK)

Ссылка

1. добавить в /etc/skel необходимые юзеру диры и бинари, в том числе и баш
2. создавать юзеров в chroot'e

httpd
(26.12.11 21:10:06 MSK)

Ссылка

Ответ на: комментарий от true_admin 26.12.11 20:45:48 MSK

в дефолтной установке, кстати, и так с правами неплохо.

все очень плохо в дефолте, неговоря еще о возможности подгрузить модуль ядра через ifconfig юзеру без рутовых прав

альтернатива чрута, только хорошо настроенный selinux, но я думаю мало кто в нем разбирается настолько хорошо.

httpd
(26.12.11 21:16:25 MSK)

Ответ на: комментарий от httpd 26.12.11 21:16:25 MSK

неговоря еще о возможности подгрузить модуль ядра через ifconfig юзеру без рутовых прав

Каким образом? Пример в студию.

только хорошо настроенный selinux

Да ладно, аппармор будет не хуже.

true_admin ★★★★★
(26.12.11 21:25:57 MSK)

Ссылка

Ответ на: комментарий от httpd 26.12.11 21:16:25 MSK

все очень плохо в дефолте

что плохо-то?

неговоря еще о возможности подгрузить модуль ядра через ifconfig юзеру без рутовых прав

толку? ну загрузит он правильный, системный модуль. Что дальше?

альтернатива чрута, только хорошо настроенный selinux, но я думаю мало кто в нем разбирается настолько хорошо.

а я думаю, ни то ни другое вас не спасёт, если у вас права «очень плохие»...

~~drBatty~~ ★★
(27.12.11 03:13:36 MSK)

Ссылка

chroot на ssh, работает с пятой ветки. Есть небольшой косяк с бинарниками, т.к. их придется копировать в директорию пользователя, но зато он вообще не будет иметь представления о том, что происходит в мире. Можно запускать его в виртуалку, и подмонтировать образ на хосте. Во FreeBSD jails вполне можно читать с хостовой машины, но тут тоже бинарники, как chroot.

xpahos ★★★★★
(27.12.11 04:13:03 MSK)

Ответ на: комментарий от xpahos 27.12.11 04:13:03 MSK

Есть небольшой косяк с бинарниками, т.к. их придется копировать в директорию пользователя

Чем mount --bind /bin /chroot/bin не угодил?

~~helios~~ ★★★★★
(27.12.11 04:49:07 MSK)

Вот всё никак не пойму — что такого секретного увидит пользователь за пределами $HOME у бинарного дистрибутива? Упрёт домой /bin/ls или /sbin/mount?

~~berrywizard~~ ★★★★★
(27.12.11 10:29:44 MSK)

Ответ на: комментарий от helios 27.12.11 04:49:07 MSK

Чем mount --bind /bin /chroot/bin не угодил?

тем, что все бинарники будут доступны. Я обычно не даю доступ ко всяким strace, ping, traceroute, ifconfig итд

xpahos ★★★★★
(27.12.11 10:58:59 MSK)

Ссылка

bash -r не подойдёт? Может ls, не может cd

sin_a ★★★★★
(27.12.11 12:37:55 MSK)

Ссылка

Ответ на: комментарий от berrywizard 27.12.11 10:29:44 MSK

Сервер населён.
Как минимум есть 2 товарища, которым хотелось бы дать доступ таким образом и они друг к другу лазить не должны, например.
Ну вообще вроде как все свои, но хотелось бы сделать как положено.

ABTOMAT
(27.12.11 15:15:48 MSK) автор топика