После неприятных событий решил засекурить свой сервак (эх, локалка разрослась, уже и какеры завелись блять). Короче к апачу прикручивается suEXEC, php как cgi (http://www.opennet.ru/base/dev/apache_php_as_cgi.txt.html). Чрут на фтп уже сделан, остался чрут при входе по ssh. Как его организовать? Необходимо чтобы юзер, входящий по ssh, чрутился в своей $HOME. Как это сделать? Вроде бы просто, но что-то не нашел нужных док.
Последние комментарии
-
OlegL, 17 декабря в 15:00 →
Перекличка
21
-
REDkiy, 8 июня 2023 года в 9:09 →
Как «замокать» файл для юниттеста в Python?
2
-
fhunter, 29 ноября 2022 года в 2:09 →
Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt?
6
-
Иванн, 9 апреля 2022 года в 8:31 →
Ассоциация РАСПО провела первое учредительное собрание
1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 →
Логи catalina.out в TomCat 9 в формате JSON
1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
Ничего себе «просто» ;)
www.tokkee.de/howtos/chrooted_ssh_howto.pdf
P.S. а вообше, google по запросу «chroot ssh» выдаёт много интересных ссылок ;).
смысел не особенно ясен сего действа..
потому как основное использование ssh видится в том, чтобы
и никак иначе.
Остальным, собственно, там делать-то что?
да даже если и надо такой доступ давать, не проще ли для этого поднять что-то типа VM ala Xen и пробрасывать остальных пользователей на эту VM? и пусть себе развлекаются, если смогут.. ;)
В общем, проблема с пониманием необходимости заданных условий имеется.
уточни ситуёвину, будь добр.
У меня хостинг.
Юзеры когда ставят какой-нить тухлый нюк — им говорят «а теперь, дорогие мои детки, удалите файлик install.php и сделайте „chmod 777 /home/http/site/htdocs/suxx.php"“. Меня заимели юзеры долбиться в приват с просибой «пропиши чмод». Потому и даю некоторым шелл. Кроме того нужно делать некоторым всякие грепы, sed-ы и прочее. Но при этом я хочу, чтобы юзеры сидели в своей песочнице и никуда за ее пределы не выходили (тем более что при моем варианте с suEXEC скрипты будут вызываться из-под того же юзера, кому принадлежит шелл).
fly4life 10x за доку
гы-гы… сие лишь говорит о чём? о том, что юзверы у тебя пользоваться теми же ftp клиентами не умеют.
вона, far и тот при пользании его в качестве ftp-клиента умеет права менять на файле… Ctrl+A и вперёд..
давать shell только для ради chmod? дикость…
… а когда им нужен sed или grep — отсылать к unixtools для вин? :)
Ладно, суть не в том, зачем мне это, а в том, как это сделать :)
Ну, вот у меня на машине ssh стоит исключительно для нашего админа. Причем с фильтрацией по IP. Он ко мне заходит пинги попускать :)) Иногда telnet’ом на свитчи на какие-то лезет.
аа.. он ещё nmap с моей машины с опцией -F пускает. Иногда… :))
Кстати, а где ведется лог от telnet-сессий? И ведется ли? Интересно иногда, что он там на свитчах творит. :)
$HOME/.bash_history — в случае баша
Только флаг нужно поставить на него, чтобы он его не мог стереть.
нифига там что-то не ведется.. у меня, по крайней мере.
А у меня именно баш.
туда попадает только запись telnet x.x.x.x а потом сразу идет лог операций, выполненных после telnet-сессии.
Думаю, Мастер имел в виду .bash_history на той машине, на которую зателнетился. Откуда ж он знал, что в качестве удалённого устройства у тебя выступает свитч.
http://www.jmcresearch.com/projects/jail/
на www серваке у меня стоит chroot по ssh. при помощи этого проекта.
еще вариант:
http://dd.vl.ru/wiki/EvgeniyKorbut/SshJail?show_comments=0
а как на счет jail ?
Парой постами выше его уже предложили ;).
Пара вариантов тем не менее остается :)
Не в openssh, а в оригинальном ssh есть возможность чрутить пользователей в их домашнем каталоге, там, по-моему немного файлов добавить нужно. Можно чрутить по группам или пользователям. Также есть еще одно интересное решение — pam_chroot.
Я как раз его сейчас обкатываю.
jail — proshe v nastrojke pri toj zhe funkcionalnosti.