Longobard
написал 15 августа 2005 года в 14:10 (1354 просмотра)
Ведет себя
как мужчина; открыл 291 тему в форуме, оставил 2499 комментариев на сайте.
После неприятных событий решил засекурить свой сервак (эх, локалка разрослась, уже и какеры завелись блять). Короче к апачу прикручивается suEXEC, php как cgi (http://www.opennet.ru/base/dev/apache_php_as_cgi.txt.html). Чрут на фтп уже сделан, остался чрут при входе по ssh. Как его организовать? Необходимо чтобы юзер, входящий по ssh, чрутился в своей $HOME. Как это сделать? Вроде бы просто, но что-то не нашел нужных док.
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
Ничего себе «просто» ;)
www.tokkee.de/howtos/chrooted_ssh_howto.pdf
P.S. а вообше, google по запросу «chroot ssh» выдаёт много интересных ссылок ;).
смысел не особенно ясен сего действа..
потому как основное использование ssh видится в том, чтобы
и никак иначе.
Остальным, собственно, там делать-то что?
да даже если и надо такой доступ давать, не проще ли для этого поднять что-то типа VM ala Xen и пробрасывать остальных пользователей на эту VM? и пусть себе развлекаются, если смогут.. ;)
В общем, проблема с пониманием необходимости заданных условий имеется.
уточни ситуёвину, будь добр.
У меня хостинг.
Юзеры когда ставят какой-нить тухлый нюк — им говорят «а теперь, дорогие мои детки, удалите файлик install.php и сделайте „chmod 777 /home/http/site/htdocs/suxx.php"“. Меня заимели юзеры долбиться в приват с просибой «пропиши чмод». Потому и даю некоторым шелл. Кроме того нужно делать некоторым всякие грепы, sed-ы и прочее. Но при этом я хочу, чтобы юзеры сидели в своей песочнице и никуда за ее пределы не выходили (тем более что при моем варианте с suEXEC скрипты будут вызываться из-под того же юзера, кому принадлежит шелл).
fly4life 10x за доку
гы-гы… сие лишь говорит о чём? о том, что юзверы у тебя пользоваться теми же ftp клиентами не умеют.
вона, far и тот при пользании его в качестве ftp-клиента умеет права менять на файле… Ctrl+A и вперёд..
давать shell только для ради chmod? дикость…
… а когда им нужен sed или grep — отсылать к unixtools для вин? :)
Ладно, суть не в том, зачем мне это, а в том, как это сделать :)
Ну, вот у меня на машине ssh стоит исключительно для нашего админа. Причем с фильтрацией по IP. Он ко мне заходит пинги попускать :)) Иногда telnet’ом на свитчи на какие-то лезет.
аа.. он ещё nmap с моей машины с опцией -F пускает. Иногда… :))
Кстати, а где ведется лог от telnet-сессий? И ведется ли? Интересно иногда, что он там на свитчах творит. :)
$HOME/.bash_history — в случае баша
Только флаг нужно поставить на него, чтобы он его не мог стереть.
нифига там что-то не ведется.. у меня, по крайней мере.
А у меня именно баш.
туда попадает только запись telnet x.x.x.x а потом сразу идет лог операций, выполненных после telnet-сессии.
Думаю, Мастер имел в виду .bash_history на той машине, на которую зателнетился. Откуда ж он знал, что в качестве удалённого устройства у тебя выступает свитч.
http://www.jmcresearch.com/projects/jail/
на www серваке у меня стоит chroot по ssh. при помощи этого проекта.
еще вариант:
http://dd.vl.ru/wiki/EvgeniyKorbut/SshJail?show_comments=0
а как на счет jail ?
Парой постами выше его уже предложили ;).
Пара вариантов тем не менее остается :)
Не в openssh, а в оригинальном ssh есть возможность чрутить пользователей в их домашнем каталоге, там, по-моему немного файлов добавить нужно. Можно чрутить по группам или пользователям. Также есть еще одно интересное решение — pam_chroot.
Я как раз его сейчас обкатываю.
jail — proshe v nastrojke pri toj zhe funkcionalnosti.