Честное слово, я не блондинка, но не могу въехать - как решить стоящую передо мной задачу.
Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные сервера с доступом к их директориям по ssh. Я с энтузиазмом взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории сделала в домашних директориях... Зашла под пользователем и вижу, что хорек может читать массу файлов к которым его подпускать не хочу.
Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг, есть способ типа того файла, который не пускал бы ssh-юзера за пределы его home?Спасибо.
> Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.Способов есть несколько, погугли на тему:
http://www.google.com/search?q=ssh+chroot
Или вот есть такой проектик
>Способов есть несколько, погугли на тему:
>
>http://www.google.com/search?q=ssh+chroot
>
>Или вот есть такой проектик
>
>http://chrootssh.sourceforge.net/index.phpCпасибо. Ключевое слово "chroot" в бестолковую голову не пришло.
Я на FreeBSD совсем недавно и наложение патчей несколько пугает. Нашла в портах чудную, надеюсь, штуку - scponly. Вроде то, что мне нужно:
"cponly is an alternative 'shell' (of sorts) for system administrators who would like to provide access to remote users to both read and write local files without providing any remote execution priviledges. Functionally, it is best described as a wrapper to the tried and true ssh suite of applications."
и далее в фичах
"logging: scponly logs time, client IP, username, and the actual request to syslog
chroot: scponly can chroot to the user's home directory, disallowing access to the rest of the filesystem.
sftp compatibility and sftp-logging compatibility..."
Сорри. Не глянула и зашла под чужим логином. Предыдущее сообщение от меня :)
Как вариант, /usr/ports/security/chrootuid :The chrootuid command combines chroot(8) and su(1) into one program,
so that there is no need to have commands such as /usr/bin/su in the
restricted environment. Access to the file system is restricted to
the newroot subtree and privileges are restricted to those of the
newuser account (which must be a known account in the unrestricted
environment).Когда у меня возникла похожая задача, я написал пару скриптов для построения полно- (или полу-) функционального chroot-окружения и запирания юзверя в нем:
ftp://62.76.123.58/unix/security/chrooted-shell-1.3.tar.gz
Сорри, док нету, и скрипт под себя надо править руками. -_-
>Как вариант, /usr/ports/security/chrootuid :
>
>The chrootuid command combines chroot(8) and su(1) into one program,
>so that there is no need to have commands such as /usr/bin/su
>in the
>restricted environment. Access to the file system is restricted to
>the newroot subtree and privileges are restricted to those of the
>newuser account (which must be a known account in the unrestricted
>environment).
>
>Когда у меня возникла похожая задача, я написал пару скриптов для построения
>полно- (или полу-) функционального chroot-окружения и запирания юзверя в нем:
>ftp://62.76.123.58/unix/security/chrooted-shell-1.3.tar.gz
>Сорри, док нету, и скрипт под себя надо править руками. -_-Cпасибо. Проблема отодвинулась на пару недель, поэтому сразу не ответила. Еще раз спасибо :)
> Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.или засовывай все это дело в jail
> Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.http://rssh.sourceforge.net/
Description: Restricted shell for SSHd
>http://rssh.sourceforge.net/
>Description: Restricted shell for SSHdCпасибо. Попробую :)