The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Помещение пользователей в chroot средствами OpenSS..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Помещение пользователей в chroot средствами OpenSS..."  
Сообщение от opennews (??) on 25-Апр-07, 12:15 
В материале "Put your OpenSSH server in SSHjail (http://security.linux.com/article.pl?sid=07/04/11/211209)" представлен патч SSHjail (http://paradigma.pt/~gngs/sshjail/) для OpenSSH, позволяющий изолировать некоторых пользователей в chroot окружениях.


Настройки хранятся в /etc/sshjail.conf, возможно определение нескольких chroot окружений с привязкой к ним групп пользователей.


Другие подобные патчи:
-  Патч для помещения пользователей в chroot, при обнаружении маски "/./" в имени домашнего каталога в /etc/passwd (http://chrootssh.sourceforge.net/) (старая версия (http://mail.incredimail.com/howto/openssh/));
-  Патч для FreeBSD, помещает в chroot или jail по логину или группе (http://garage.freebsd.pl/patches/openssh-chroot.patch);
-  Патч для помещения избранных пользователей в chroot (openssh-3.5p1) (http://majikal.dyn.dhs.org/projekts/openssh_chroot_patch/). Добавляет директивы ChrootDir, ChrootAll, ChrootUsers, NoChrootUsers;
-  Патч sftp-server для запрещения выхода за рамки домашнего каталога (http://groups.google.com.ru/groups?selm=blch1t%241eaj&#...).
-  chroot+sftp hack (http://www.coding-zone.com/chroot+sftp-server.patch) - делает chroot при соединении по SFTP, если в пути к домашней директории пользователя указано /./;


URL: http://security.linux.com/article.pl?sid=07/04/11/211209
Новость: http://www.opennet.dev/opennews/art.shtml?num=10580

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от Andrew (??) on 25-Апр-07, 12:15 
Раньше это делалось с помощью pam_chroot...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от visir email on 25-Апр-07, 12:44 
и сейчас тоже делается, но изобретатели велосипедов не спят... ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от Alex Ryabov email on 26-Апр-07, 11:55 
>Раньше это делалось с помощью pam_chroot...

А как именно это делается на FreeBSD, можете рассказать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от Аноним on 25-Апр-07, 22:27 
Отличная вещь если все работает так как написано на сайте автора. Поддержку pam прикручивать не хочется, а вариант с /./ в passwd это даже не велосипед, это апгрейд круглого колеса до квадратного, чтобы по шпалам было удобнее ездить.
Вот только сдается мне, старая проблема с необходимостью класть юзеру в хоум бинарники и либы для sftp-server осталась. Остается лишь поностальгировать по временам когда www.ssh.com раздавалбесплатно свой софт для некоммерческого использования.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от Dimez (??) on 26-Апр-07, 09:50 
А сейчас он не раздаёт разве? На ftp.ssh.com лежит ssh-3.2.9.1.tar.gz. К нему, правда, для нормальной работы нужен патч
$ cat patch-3.2.9.1.diff
diff -uNr ssh-3.2.9.1.orig/lib/sshreadline/sshreadline.c ssh-3.2.9.1/lib/sshreadline/sshreadline.c
--- ssh-3.2.9.1.orig/lib/sshreadline/sshreadline.c      2003-12-03 08:17:20.000000000 -0500
+++ ssh-3.2.9.1/lib/sshreadline/sshreadline.c   2004-02-02 11:18:46.000000000 -0500
@@ -500,8 +500,9 @@
   new_term.c_lflag &= ~(ECHO | ICANON);
   new_term.c_cc[VMIN] = 1;
   new_term.c_cc[VTIME] = 1;
-  if (tcsetattr(fd, TCSAFLUSH, &new_term) < 0)
+   fast:  if (tcsetattr(fd, TCSAFLUSH, &new_term) < 0)
     {
+       if (EINTR == errno) goto fast;
       ssh_warning("tcsetattr failed in ssh_rl_set_tty_modes_for_fd: "
                   "fd %d: %.200s", fd, strerror(errno));
       return -1;
@@ -561,8 +562,9 @@
{
   fcntl(fd, F_SETFL, fcntl_flags);

-  if (tcsetattr(fd, TCSAFLUSH, saved_tio) < 0)
+   fast1:   if (tcsetattr(fd, TCSAFLUSH, saved_tio) < 0)
     {
+        if (EINTR == errno) goto fast1;
       ssh_warning("tcsetattr failed in ssh_rl_restore_tty_modes_for_fd: "
                   "fd %d: %.200s", fd, strerror(errno));
       return -1;

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от toka on 27-Апр-07, 09:24 
просвятите незнающего, чем ssh лучше openssh?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от СомеОне on 27-Апр-07, 20:32 
>просвятите незнающего, чем ssh лучше openssh?
OpenSSH is a derivative of the original and free ssh 1.2.12 release by
     Tatu Ylonen.  Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo
     de Raadt and Dug Song removed many bugs, re-added newer features and cre-
     ated OpenSSH.  Markus Friedl contributed the support for SSH protocol
     versions 1.5 and 2.0.
Так что опенссх лучше, а не ссх


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от Павел email(??) on 23-Дек-07, 23:39 
бился, бился как чрутился так и чрутится дальше и спокойно выходит за пределы корня...
может у кого получилось?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от hurd on 21-Фев-08, 11:24 
работает однако на Debian Etch. Хорошая статья
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Помещение пользователей в chroot средствами OpenSSH"  
Сообщение от pLastUn email on 21-Фев-08, 18:42 
На FreeBSD 6.2 не работает.(не chroot-ится), Кому удалось проделать это на FreeBSD, поделитесь нюансами!!!  
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру