forum.opennet.ru

Составление сообщения

Исходное сообщение

"Как ограничить права юзеров при доступе через SSH"
Отправлено Vladimir, 12-Июл-07 23:07

Делал это уже довольно давно, на тот момент существующие решения не устраивали.
Так что сильно не пинайте, если че не так.
За основу брал OpenSSH.
cd /usr/ports/security/openssh
make patch
потом в файле work/ssh/sftp-server.c функцию майн привожу к такому виду
(первые-последние строки там уже есть, привел для привязки):
int
main(int ac, char **av)
{
  fd_set *rset, *wset;
  int in, out, max;
  ssize_t len, olen, set_size;
  char *chrootdir;
  struct passwd *pw;
  char *name;
  /* XXX should use getopt */
  handle_init();
  if ((name = getenv("USER")) == NULL) {
    error("USER not set");
    exit(11);
  }
  log( "user %s logged in", name );
  //printf( "%s\n", name);
  if ((pw = getpwnam(name)) == NULL) {
    error("getpwname");
    exit(11);
  }
  if (chroot(pw->pw_dir) < 0)
  {
    error("chroot");
    exit(11);
  }
  log( "chrootted to %s", pw->pw_dir );
  /* set permissions */
  if (setgid(pw->pw_gid) < 0)
  {
    error("setgid");
    exit(11);
  }
  if (setuid(pw->pw_uid) < 0)
  {
    error("setuid");
    exit(11);
  }
  in = dup(STDIN_FILENO);
  out = dup(STDOUT_FILENO);
тут можно еще, к примеру, вставить проверку на, скажем, наличие точки в пути к дому и только в тогда chroot-ить. Но у меня рутятся все
Дальше
make install
файлик work/ssh/sftp-server/sftp-server переписываю в /root
владелец его рут + суид (иначе не даст сделать чрут)
кому надо заходить по сфтп с чрутом - ставлю шеллом /root/sftp-wrapper
его содержимое:
#!/bin/sh
host=`/bin/echo $SSH_CLIENT | awk '{print $1}'`
date=`/usr/bin/env LANG=C /bin/date "+%Y-%b-%d %H:%M:%S"`
/bin/echo $date user \'$USER\' log in from $host >> /root/sftp-log
exec /root/sftp-server
все, доступ идет через стандартный sshd, шеллом запускается патченный сфтп от рута,
делает чрут и выставляет правильных юзера/группу, дальше работать можно только
по протоколу стфп (т.е. командой строки нет) и в папках не выше дома.
в last этих заходов не видно, но враппером пишутся в /root/sftp-log

Исходное сообщение
"Как ограничить права юзеров при доступе через SSH" Отправлено Vladimir, 12-Июл-07 23:07
Делал это уже довольно давно, на тот момент существующие решения не устраивали. Так что сильно не пинайте, если че не так. За основу брал OpenSSH. cd /usr/ports/security/openssh make patch потом в файле work/ssh/sftp-server.c функцию майн привожу к такому виду (первые-последние строки там уже есть, привел для привязки): int main(int ac, char *av) { fd_set rset, wset; int in, out, max; ssize_t len, olen, set_size; char chrootdir; struct passwd pw; char name; /* XXX should use getopt / handle_init(); if ((name = getenv("USER")) == NULL) { error("USER not set"); exit(11); } log( "user %s logged in", name ); //printf( "%s\n", name); if ((pw = getpwnam(name)) == NULL) { error("getpwname"); exit(11); } if (chroot(pw->pw_dir) < 0) { error("chroot"); exit(11); } log( "chrootted to %s", pw->pw_dir ); / set permissions */ if (setgid(pw->pw_gid) < 0) { error("setgid"); exit(11); } if (setuid(pw->pw_uid) < 0) { error("setuid"); exit(11); } in = dup(STDIN_FILENO); out = dup(STDOUT_FILENO); тут можно еще, к примеру, вставить проверку на, скажем, наличие точки в пути к дому и только в тогда chroot-ить. Но у меня рутятся все Дальше make install файлик work/ssh/sftp-server/sftp-server переписываю в /root владелец его рут + суид (иначе не даст сделать чрут) кому надо заходить по сфтп с чрутом - ставлю шеллом /root/sftp-wrapper его содержимое: #!/bin/sh host=`/bin/echo $SSH_CLIENT \| awk '{print $1}'` date=`/usr/bin/env LANG=C /bin/date "+%Y-%b-%d %H:%M:%S"` /bin/echo $date user \'$USER\' log in from $host >> /root/sftp-log exec /root/sftp-server все, доступ идет через стандартный sshd, шеллом запускается патченный сфтп от рута, делает чрут и выставляет правильных юзера/группу, дальше работать можно только по протоколу стфп (т.е. командой строки нет) и в папках не выше дома. в last этих заходов не видно, но враппером пишутся в /root/sftp-log

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Делал это уже довольно давно, на тот момент существующие решения не устраивали. 
 
> Так что сильно не пинайте, если че не так.

> За основу брал OpenSSH.

> cd /usr/ports/security/openssh 
> make patch

> потом в файле work/ssh/sftp-server.c функцию майн привожу к такому виду 
> (первые-последние строки там уже есть, привел для привязки):

> int 
> main(int ac, char **av) 
> { 
>   fd_set *rset, *wset; 
>   int in, out, max; 
>   ssize_t len, olen, set_size; 
>   char *chrootdir; 
>   struct passwd *pw; 
>   char *name;

>   /* XXX should use getopt */

>   handle_init();

>   if ((name = getenv("USER")) == NULL) { 
>     error("USER not set"); 
>     exit(11); 
>   } 
>   log( "user %s logged in", name ); 
>   //printf( "%s\n", name);

>   if ((pw = getpwnam(name)) == NULL) { 
>     error("getpwname"); 
>     exit(11); 
>   } 
>   if (chroot(pw->pw_dir) < 0) 
>   { 
>     error("chroot"); 
>     exit(11); 
>   } 
>   log( "chrootted to %s", pw->pw_dir );

>   /* set permissions */ 
>   if (setgid(pw->pw_gid) < 0) 
>   { 
>     error("setgid"); 
>     exit(11); 
>   } 
>   if (setuid(pw->pw_uid) < 0) 
>   { 
>     error("setuid"); 
>     exit(11); 
>   }

>   in = dup(STDIN_FILENO); 
>   out = dup(STDOUT_FILENO);

> тут можно еще, к примеру, вставить проверку на, скажем, наличие точки в 
> пути к дому и только в тогда chroot-ить. Но у меня 
> рутятся все

> Дальше 
> make install 
> файлик work/ssh/sftp-server/sftp-server переписываю в /root 
> владелец его рут + суид (иначе не даст сделать чрут)

> кому надо заходить по сфтп с чрутом - ставлю шеллом /root/sftp-wrapper 
> его содержимое:

> #!/bin/sh

> host=`/bin/echo $SSH_CLIENT | awk '{print $1}'` 
> date=`/usr/bin/env LANG=C /bin/date "+%Y-%b-%d %H:%M:%S"` 
> /bin/echo $date user \'$USER\' log in from $host >> /root/sftp-log 
> exec /root/sftp-server

> все, доступ идет через стандартный sshd, шеллом запускается патченный сфтп от рута, 
 
> делает чрут и выставляет правильных юзера/группу, дальше работать можно только 
> по протоколу стфп (т.е. командой строки нет) и в папках не выше 
> дома.

> в last этих заходов не видно, но враппером пишутся в /root/sftp-log

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру