The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Помещение SSH пользователей в изолированное окружение.

16.05.2007 16:30

Misha Volodko подготовил руководство по настройке OpenSSH для помещения пользователей в chroot окружение.

  1. Главная ссылка к новости (http://www.opennet.me/base/sec...)
  2. OpenNews: Помещение пользователей в chroot средствами OpenSSH
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/10802-ssh
Ключевые слова: ssh, chroot, limit, linux, debian
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 16:52, 16/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот пакет openssh-chroot для Arch Linux

    http://aur.archlinux.org/packages.php?do_Details=1&ID=8849

     
     
  • 2.11, exn (??), 22:48, 16/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот пакет openssh-chroot

    +1 замечательная весч
     

  • 1.2, squirL (??), 17:39, 16/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > К сожалению классический ftp передает логин и пароль

    а слово scp автору неведомо... :) в результате чего появляется на свет велосипед с квадратными колесами.
    и какой смысл совать пользователей в chroot? UNIX permissions вам мало? или не умеем готовить?

     
     
  • 2.3, devcoder (??), 17:46, 16/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    to squirL

    это решение для провайдеров или чего-то подобного

    а для баловства можно и scp и UNIX permissions

     
  • 2.4, devcoder (??), 17:49, 16/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    задумайтесь зачем вообще chroot придумали?
    значит нужно это и востребовано :)


     
     
  • 3.28, Wulf (?), 18:08, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    chroot придумали для разработки и отладки системных библиотек, в первую очередь - libc, а совсем не для того, о чем Вы подумали
     
     
  • 4.32, devcoder (??), 20:03, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, хронологию не знал.

    Значит потом уже прижился и для секурных целей: apache, mysqld, sshd, vsftpd, postfix, ...

     
  • 2.5, vinzz (?), 17:51, 16/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    к фтп можно прикрутить ссл/тлс
     
     
  • 3.15, a5b (?), 01:26, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    можно, но нужно ли? И часто ли оно прикручено? imho нет
    я такого изврата не видел.
     
     
  • 4.19, mike_t (?), 10:18, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    нужно
    часто
    а ты погляди повнимательней
     
  • 2.8, Андрей (??), 21:04, 16/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    разве scp умеет удалять файлы, создавать директории и менять права доступа на стороне сервера ?
    ftp - это делать умеет.
     
     
  • 3.24, Аноним (-), 15:42, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    sftp все умеет.
     

  • 1.6, guest (??), 19:05, 16/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А я тут тоже подготовил руководство, специально для автора. Оно короткое, должен осилить:
    man scp
     
     
  • 2.9, Андрей (??), 21:06, 16/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    для guest:
    man ftp и особенное внимание уделить командам
    chmod mode file-name
    delete remote-file
    mkdir directory-name

    но лучше вообще весь man ftp внимательно прочитать и статью тоже.

     
     
  • 3.13, guest (??), 01:22, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Не хватало вот только ересь всякую читать на ночь глядя - ещё кошмар приснится...
    Как по-твоему создаются и удаляются директории когда я к примеру использую sshfs для fuse?
    Подсказка: посылкой соответствующих команду через ssh туннель.
    А как копируются файлы?
    Подсказка: с помощью scp.
    Это называется unix-way. Его специально придумали, чтобы нормальные люди могли спокойно работать не тратя своё время на чтение писанины изобретателей велосипедов.
     
     
  • 4.29, Андрей (??), 18:22, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    твоё оригинальное сообщение "man scp",
    что можно перевести как "scp - есть полная замена ftp"
    на что я тебе указал что scp не является полной заменой ftp
    для полной замены требуются дополнительные шаги и утилиты
    ты используешь sshfs для fuse и scp
    автор статьи использует chroot ssh и scp

    так что спи спокойно дорогой guest

     
     
  • 5.31, deskpot (?), 19:57, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >на что я тебе указал что scp не является полной заменой ftp
    >для полной замены требуются дополнительные шаги и утилиты
    >ты используешь sshfs для fuse и scp
    >автор статьи использует chroot ssh и scp

    scp использует sftp-подсистему ssh и является к ней частным клиентским интерфейсом. другим штатным интерфейсом является sftp, и оно действительно ни в чём не уступает "обычному" ftp. внештатными -- lftp и rsync, которые тоже удобны.

     

  • 1.7, FarID (??), 20:18, 16/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    спасибо автору за статью
    порой сложно найти чтонить болееменее вменяемое по этому вопросу

    P.S.
    народ если вы можете умнее написать - ВПЕРЕД
    вплоть до перевода man scp

    guest -> ignore (из толпы проще орать)

     
     
  • 2.12, squirL (??), 01:11, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    т. е. вы активно этим пользуетесь и вам обидно не только за автора но и за себя?
    отвечаю. я - не буду писать статью на подобную тему. потому что не вижу смысла загонять ssh юзеров в chroot. точка.
     
     
  • 3.16, devcoder (??), 07:56, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >т. е. вы активно этим пользуетесь и вам обидно не только за
    >автора но и за себя?
    >отвечаю. я - не буду писать статью на подобную тему. потому что
    >не вижу смысла загонять ssh юзеров в chroot. точка.


    подходы к безопасности для локального сервера на котором пасутся 3-5 знакомых админу юзеров
    отличаются от подходов к безопасности для провайдерcкого сервера(ов)
    примерно так же как запорожец от строительной спец. машины

    если у Вас "запорожец" - не следует отвечать так автору, цитирую

    > а слово scp автору неведомо... :) в результате чего появляется на свет велосипед с квадратными колесами.
    > и какой смысл совать пользователей в chroot? UNIX permissions вам мало? или не умеем готовить?

    так как его статья интересна только для серьезных и крупных решений

     
     
  • 4.26, squirL (??), 17:42, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Серьезных и крупных? :) chroot - это иллюзия безопасности, а не "серьезное и крупное" решение.
     
     
  • 5.30, Андрей (??), 18:29, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    "chroot - это серьёзное решение"
    звучит так же смешно как и ваше
    "chroot - это иллюзия безопасности"
    необходимо добавить почему, но тут у нас у обоих пробел в образовании наверно :-)
     
     
  • 6.33, devcoder (??), 20:24, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    вместо
    >"chroot - это серьёзное решение"
    было
    >"статья интересна только для серьезных и крупных решений

    ну а почему?

    наверно потому, что chroot(в том числе и на уровне других приложений http/proxy/smtp/ftp/database) или VM дополнительно повышают безопасность многопользовательской системы.

    Лично я думаю так, со своей маленькой колокольни конечно :)


     
  • 6.35, squirl (?), 07:53, 18/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >"chroot - это серьёзное решение"
    >звучит так же смешно как и ваше
    >"chroot - это иллюзия безопасности"
    >необходимо добавить почему, но тут у нас у обоих пробел в образовании
    >наверно :-)

    потому что большинство юных админов пихают в chroot все сервисы подряд, при этом не заботятся об остальных аспектах и пренебрегая изучением матчасти. основной довод - "даже если чуваг получит рута - ничево ни сделаит в чруте". а это глупость, ибо вполне возможно вырваться из chroot.

     
     
  • 7.40, Аноним (-), 13:10, 18/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Скажите как, я хочу это знать...
     
  • 5.38, SG (??), 12:21, 18/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    иллюзия безопасности если там рута давать или система дырявая. хотя с патчиками от grsec все выглядит намного лучше. а потребность такая есть и правами доступа решать намного сложнее. примерно по той же причине, почему всякие селинуксы и прочии rsbac внедряются с большим скрипом - гимороя много. я эту проблему частично закрыл виртуальными системами, но хочется еще простой и быстрый способ для ssh/scp/sftp. для ftp chroot есть давно и используется часто.
     
     
  • 6.39, uldus (ok), 12:54, 18/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >иллюзия безопасности если там рута давать или система дырявая.

    Систему всегда нужно считать дырявой, ибо нет никакой гарантии, что админ узнает первым об очердной локальной дыре в ядре или работающей из-под рута программе. А дыры ой как часто появляются. Chroot с минимумом утилит сильно помогает, особенно если на машине крутятся разные сервисы. Упование на стандартные средства разделения привилегий и всякие gresecurity/openwall патчи, как раз и есть иллюзия безопасности.

     

  • 1.10, EugeneWolf (?), 21:51, 16/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как насчет sftp ?
     
  • 1.14, a5b (?), 01:24, 17/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лично я для таких целей использовал pam-chroot

    А так  UNIX permissions не всегда можно везде проверить (и наблюдаем, например, дистр q3 в /tmp, где нет квот), кроме того iptables -m owner рулит

     
  • 1.17, andrew (??), 09:25, 17/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ИМХО, действительно проще сделать это при помощи pam-chroot. Использовал его во FreeBSD - работает с родным sshd и без дополнительный костылей-патчей. Работает один-в-один так же. Единственная проблема chroot - необходимость копирования библиотек и бинарников в домашнюю папку каждому пользователю. Хотя есть мысль использовать nullfs для этих целей, но как это будет работать для сотни-другой пользователей - хз :)
     
     
  • 2.18, Z_M (??), 10:08, 17/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    ой нульфс прекрасно помоему справляется со всем что надо :)
     

  • 1.25, Sergey (??), 16:18, 17/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Согласен с большинством отметившихся выше. С одной стороны статья ничего, как Quick Guide для конкретного решения сойдет. С другой именно что велосипед с квадратными колесами. Если я хостинг-провайдер и даю рутовый доступ юзерам, я лично я бы выбрал более надежное решения, а главное более гибкое и настраиваемое чем chroot. Благо что есть Virtuozzo/OpenVZ. А для заливки контента на свой сайт связки ssh(scp/sftp) + WinSCP(это опционально) более чем достаточно.
     
  • 1.27, кук (?), 17:45, 17/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    apt-cache show scponly

    Description: Restricts the commands available to scp- and sftp-users
    "scponly" is an alternative 'shell' (of sorts) for system
    administrators who would like to provide access to remote users to
    both read and write local files without providing any remote
    execution priviledges.  Functionally, it is best described as a
    wrapper to the mostly trusted suite of ssh applications.

     
  • 1.34, D4FF (?), 04:43, 18/05/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FTP - вообще дегенеративный протокол, скажем не предназначен для работы через фаерволл.А если к нему прикрутить SSL получится ужосн*х - мало того что ублюдочный протокол, так еще и нестандартно нифига.И смысл всего этого?
     
     
  • 2.36, Z_M (??), 10:21, 18/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    а мне jail нравится =)
     
  • 2.37, belkin (?), 10:27, 18/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >FTP - вообще дегенеративный протокол, скажем не предназначен для работы через фаерволл.А
    >если к нему прикрутить SSL получится ужосн*х - мало того что
    >ублюдочный протокол, так еще и нестандартно нифига.И смысл всего этого?

    В классическом FTP на сервер пытались возложить функцию управления нагрузкой для эффективного использования каналов и вычислительных ресурсов сервера. Отсюда и инициация от сервера. Теперь это пробуют решать с помощью bittorent и т.п. .

    Разделение каналов на управляющий и данных тоже правильно.

     
     
  • 3.41, deskpot (?), 15:57, 18/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >В классическом FTP на сервер пытались возложить функцию управления нагрузкой для эффективного
    >использования каналов и вычислительных ресурсов сервера. Отсюда и инициация от сервера.
    >Теперь это пробуют решать с помощью bittorent и т.п. .

    на мой взгляд, не совсем верно. расскажите мне, пожалуйста, в каком из "классических" FTP-серверов это было реализовано? ;) в те годы, когда придумывали FTP, никто ни о той, ни о другой эффективности даже и не думал. если вы видели внутренности хотя бы одного из ftp-серверов хотя бы пятнадцатилетней давности, вы бы такое не говорили. =)

    >Разделение каналов на управляющий и данных тоже правильно.

    это всё оправдание программисткой лени и нежелания менять криво работающие старые схемы на более корректные новые. но, если вы так настаиваете -- попробуйте рассказать, чем же именно выгодно такое разделение, особенно, в таком топорном и неграмотном виде, как это сделано в FTP?

     
     
  • 4.42, scum (??), 16:00, 26/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Хе хе, у Таненбаума в его книге по сетям есть такое высказывание, что на заре интернета, некоторые протоколы придумывались студентами-недоучками, но потом все равно обрели свою популярность, так как сперва у них просто не было альтернатив, а потом к ним просто привыкли. Я вот все думаю - не FTP ли он имел ввиду?

     
     
  • 5.43, deskpot (?), 17:27, 26/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Хе хе, у Таненбаума в его книге по сетям есть такое высказывание,
    >что на заре интернета, некоторые протоколы придумывались студентами-недоучками, но потом все
    >равно обрели свою популярность, так как сперва у них просто не
    >было альтернатив, а потом к ним просто привыкли. Я вот все
    >думаю - не FTP ли он имел ввиду?

    И FTP тоже. Хотя, как по мне, так в последние лет восемь более актуальны врождённые дефекты того же SMTP (мы же все помним, что какое-то время в сетях с SMTP open relay был нормой вообще, и тому были причины).

    Впрочем, к Танненбауму тоже много претензий по тому, что он, всё-таки, довольно поверхностно представляет себе суть причин успешности конкурирующих решений (в т. ч. причин популярности того или иного протокола). Ну неинтересны ему такие вещи, и он о них даже думать ленится.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру