nixp.ru v3.0

19 октября 2017,
четверг,
23:11:59 MSK

DevOps с компанией «Флант»
Longobard написал 15 августа 2005 года в 14:10 (861 просмотр) Ведет себя как мужчина; открыл 291 тему в форуме, оставил 2499 комментариев на сайте.

После неприятных событий решил засекурить свой сервак (эх, локалка разрослась, уже и какеры завелись блять). Короче к апачу прикручивается suEXEC, php как cgi (http://www.opennet.ru/base/dev/apache_php_as_cgi.txt.html). Чрут на фтп уже сделан, остался чрут при входе по ssh. Как его организовать? Необходимо чтобы юзер, входящий по ssh, чрутился в своей $HOME. Как это сделать? Вроде бы просто, но что-то не нашел нужных док.

fly4life

Ничего себе «просто» ;)

www.tokkee.de/howtos/chrooted_ssh_howto.pdf

P.S. а вообше, google по запросу «chroot ssh» выдаёт много интересных ссылок ;).

Genie

смысел не особенно ясен сего действа..

потому как основное использование ssh видится в том, чтобы

$ ssh user@host.somemwhere.tam

Password:…

$ su -

Password:

#

и никак иначе.

Остальным, собственно, там делать-то что?

да даже если и надо такой доступ давать, не проще ли для этого поднять что-то типа VM ala Xen и пробрасывать остальных пользователей на эту VM? и пусть себе развлекаются, если смогут.. ;)

В общем, проблема с пониманием необходимости заданных условий имеется.

уточни ситуёвину, будь добр.

Longobard

У меня хостинг.

Юзеры когда ставят какой-нить тухлый нюк — им говорят «а теперь, дорогие мои детки, удалите файлик install.php и сделайте „chmod 777 /home/http/site/htdocs/suxx.php"“. Меня заимели юзеры долбиться в приват с просибой «пропиши чмод». Потому и даю некоторым шелл. Кроме того нужно делать некоторым всякие грепы, sed-ы и прочее. Но при этом я хочу, чтобы юзеры сидели в своей песочнице и никуда за ее пределы не выходили (тем более что при моем варианте с suEXEC скрипты будут вызываться из-под того же юзера, кому принадлежит шелл).

fly4life 10x за доку

Genie

гы-гы… сие лишь говорит о чём? о том, что юзверы у тебя пользоваться теми же ftp клиентами не умеют.

вона, far и тот при пользании его в качестве ftp-клиента умеет права менять на файле… Ctrl+A и вперёд..

давать shell только для ради chmod? дикость…

Longobard

… а когда им нужен sed или grep — отсылать к unixtools для вин? :)

Ладно, суть не в том, зачем мне это, а в том, как это сделать :)

Curu3MyHg
Genie
смысел не особенно ясен сего действа..

потому как основное использование ssh видится в том, чтобы

$ ssh user@host.somemwhere.tam
Password:...
$ su -
Password:
#

и никак иначе.

Остальным, собственно, там делать-то что?

Ну, вот у меня на машине ssh стоит исключительно для нашего админа. Причем с фильтрацией по IP. Он ко мне заходит пинги попускать :)) Иногда telnet’ом на свитчи на какие-то лезет.

аа.. он ещё nmap с моей машины с опцией -F пускает. Иногда… :))

Кстати, а где ведется лог от telnet-сессий? И ведется ли? Интересно иногда, что он там на свитчах творит. :)

Master
Curu3MyHg
Кстати, а где ведется лог от telnet-сессий? И ведется ли? Интересно иногда, что он там на свитчах творит. :)

$HOME/.bash_history — в случае баша

Только флаг нужно поставить на него, чтобы он его не мог стереть.

anonymous
Master
$HOME/.bash_history — в случае баша

Только флаг нужно поставить на него, чтобы он его не мог стереть.

нифига там что-то не ведется.. у меня, по крайней мере.

А у меня именно баш.

туда попадает только запись telnet x.x.x.x а потом сразу идет лог операций, выполненных после telnet-сессии.

fly4life
Curu3MyHg_as_a_guest
нифига там что-то не ведется.. у меня, по крайней мере.

А у меня именно баш.

туда попадает только запись telnet x.x.x.x а потом сразу идет лог операций, выполненных после telnet-сессии.

Думаю, Мастер имел в виду .bash_history на той машине, на которую зателнетился. Откуда ж он знал, что в качестве удалённого устройства у тебя выступает свитч.

Vladimir

http://www.jmcresearch.com/projects/jail/

на www серваке у меня стоит chroot по ssh. при помощи этого проекта.

jespl
LONGOBARD
… а когда им нужен sed или grep — отсылать к unixtools для вин? :)

Ладно, суть не в том, зачем мне это, а в том, как это сделать :)

еще вариант:

http://dd.vl.ru/wiki/EvgeniyKorbut/SshJail?show_comments=0

Steck

а как на счет jail ?

fly4life
Steck
а как на счет jail ?

Парой постами выше его уже предложили ;).

anonymous

Пара вариантов тем не менее остается :)

Не в openssh, а в оригинальном ssh есть возможность чрутить пользователей в их домашнем каталоге, там, по-моему немного файлов добавить нужно. Можно чрутить по группам или пользователям. Также есть еще одно интересное решение — pam_chroot.

Я как раз его сейчас обкатываю.

Vladimir

jail — proshe v nastrojke pri toj zhe funkcionalnosti.