The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Помещение SSH пользователей в изолированное окруже..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Помещение SSH пользователей в изолированное окруже..."  
Сообщение от opennews on 16-Май-07, 16:52 
Misha Volodko подготовил (http://www.opennet.me/base/sec/ssh_chroot.txt.html) руководство по настройке OpenSSH  для помещения пользователей в chroot окружение.

URL: http://www.opennet.me/base/sec/ssh_chroot.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=10802

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Аноним on 16-Май-07, 16:52 
А вот пакет openssh-chroot для Arch Linux

http://aur.archlinux.org/packages.php?do_Details=1&ID=8849

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от exn (??) on 16-Май-07, 22:48 
> А вот пакет openssh-chroot

+1 замечательная весч
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от squirL email(??) on 16-Май-07, 17:39 
> К сожалению классический ftp передает логин и пароль

а слово scp автору неведомо... :) в результате чего появляется на свет велосипед с квадратными колесами.
и какой смысл совать пользователей в chroot? UNIX permissions вам мало? или не умеем готовить?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от devcoder email(??) on 16-Май-07, 17:46 
to squirL

это решение для провайдеров или чего-то подобного

а для баловства можно и scp и UNIX permissions

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от devcoder email(??) on 16-Май-07, 17:49 
задумайтесь зачем вообще chroot придумали?
значит нужно это и востребовано :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Wulf on 17-Май-07, 18:08 
chroot придумали для разработки и отладки системных библиотек, в первую очередь - libc, а совсем не для того, о чем Вы подумали
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от devcoder (??) on 17-Май-07, 20:03 
Интересно, хронологию не знал.

Значит потом уже прижился и для секурных целей: apache, mysqld, sshd, vsftpd, postfix, ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от vinzz on 16-Май-07, 17:51 
к фтп можно прикрутить ссл/тлс
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от a5b on 17-Май-07, 01:26 
можно, но нужно ли? И часто ли оно прикручено? imho нет
я такого изврата не видел.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от mike_t on 17-Май-07, 10:18 
нужно
часто
а ты погляди повнимательней
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Андрей (??) on 16-Май-07, 21:04 
разве scp умеет удалять файлы, создавать директории и менять права доступа на стороне сервера ?
ftp - это делать умеет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Аноним on 17-Май-07, 15:42 
sftp все умеет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от guest (??) on 16-Май-07, 19:05 
А я тут тоже подготовил руководство, специально для автора. Оно короткое, должен осилить:
man scp
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Андрей (??) on 16-Май-07, 21:06 
для guest:
man ftp и особенное внимание уделить командам
chmod mode file-name
delete remote-file
mkdir directory-name

но лучше вообще весь man ftp внимательно прочитать и статью тоже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от guest (??) on 17-Май-07, 01:22 
Не хватало вот только ересь всякую читать на ночь глядя - ещё кошмар приснится...
Как по-твоему создаются и удаляются директории когда я к примеру использую sshfs для fuse?
Подсказка: посылкой соответствующих команду через ssh туннель.
А как копируются файлы?
Подсказка: с помощью scp.
Это называется unix-way. Его специально придумали, чтобы нормальные люди могли спокойно работать не тратя своё время на чтение писанины изобретателей велосипедов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Андрей (??) on 17-Май-07, 18:22 
твоё оригинальное сообщение "man scp",
что можно перевести как "scp - есть полная замена ftp"
на что я тебе указал что scp не является полной заменой ftp
для полной замены требуются дополнительные шаги и утилиты
ты используешь sshfs для fuse и scp
автор статьи использует chroot ssh и scp

так что спи спокойно дорогой guest

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от deskpot email on 17-Май-07, 19:57 
>на что я тебе указал что scp не является полной заменой ftp
>для полной замены требуются дополнительные шаги и утилиты
>ты используешь sshfs для fuse и scp
>автор статьи использует chroot ssh и scp

scp использует sftp-подсистему ssh и является к ней частным клиентским интерфейсом. другим штатным интерфейсом является sftp, и оно действительно ни в чём не уступает "обычному" ftp. внештатными -- lftp и rsync, которые тоже удобны.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от FarID (??) on 16-Май-07, 20:18 
спасибо автору за статью
порой сложно найти чтонить болееменее вменяемое по этому вопросу

P.S.
народ если вы можете умнее написать - ВПЕРЕД
вплоть до перевода man scp

guest -> ignore (из толпы проще орать)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от squirL email(??) on 17-Май-07, 01:11 
т. е. вы активно этим пользуетесь и вам обидно не только за автора но и за себя?
отвечаю. я - не буду писать статью на подобную тему. потому что не вижу смысла загонять ssh юзеров в chroot. точка.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от devcoder (??) on 17-Май-07, 07:56 
>т. е. вы активно этим пользуетесь и вам обидно не только за
>автора но и за себя?
>отвечаю. я - не буду писать статью на подобную тему. потому что
>не вижу смысла загонять ssh юзеров в chroot. точка.


подходы к безопасности для локального сервера на котором пасутся 3-5 знакомых админу юзеров
отличаются от подходов к безопасности для провайдерcкого сервера(ов)
примерно так же как запорожец от строительной спец. машины

если у Вас "запорожец" - не следует отвечать так автору, цитирую

> а слово scp автору неведомо... :) в результате чего появляется на свет велосипед с квадратными колесами.
> и какой смысл совать пользователей в chroot? UNIX permissions вам мало? или не умеем готовить?

так как его статья интересна только для серьезных и крупных решений

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от squirL email(??) on 17-Май-07, 17:42 
Серьезных и крупных? :) chroot - это иллюзия безопасности, а не "серьезное и крупное" решение.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Андрей (??) on 17-Май-07, 18:29 
"chroot - это серьёзное решение"
звучит так же смешно как и ваше
"chroot - это иллюзия безопасности"
необходимо добавить почему, но тут у нас у обоих пробел в образовании наверно :-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от devcoder (??) on 17-Май-07, 20:24 
вместо
>"chroot - это серьёзное решение"
было
>"статья интересна только для серьезных и крупных решений

ну а почему?

наверно потому, что chroot(в том числе и на уровне других приложений http/proxy/smtp/ftp/database) или VM дополнительно повышают безопасность многопользовательской системы.

Лично я думаю так, со своей маленькой колокольни конечно :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от squirl email on 18-Май-07, 07:53 
>"chroot - это серьёзное решение"
>звучит так же смешно как и ваше
>"chroot - это иллюзия безопасности"
>необходимо добавить почему, но тут у нас у обоих пробел в образовании
>наверно :-)

потому что большинство юных админов пихают в chroot все сервисы подряд, при этом не заботятся об остальных аспектах и пренебрегая изучением матчасти. основной довод - "даже если чуваг получит рута - ничево ни сделаит в чруте". а это глупость, ибо вполне возможно вырваться из chroot.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Аноним on 18-Май-07, 13:10 
Скажите как, я хочу это знать...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от SG (??) on 18-Май-07, 12:21 
иллюзия безопасности если там рута давать или система дырявая. хотя с патчиками от grsec все выглядит намного лучше. а потребность такая есть и правами доступа решать намного сложнее. примерно по той же причине, почему всякие селинуксы и прочии rsbac внедряются с большим скрипом - гимороя много. я эту проблему частично закрыл виртуальными системами, но хочется еще простой и быстрый способ для ssh/scp/sftp. для ftp chroot есть давно и используется часто.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от uldus (ok) on 18-Май-07, 12:54 
>иллюзия безопасности если там рута давать или система дырявая.

Систему всегда нужно считать дырявой, ибо нет никакой гарантии, что админ узнает первым об очердной локальной дыре в ядре или работающей из-под рута программе. А дыры ой как часто появляются. Chroot с минимумом утилит сильно помогает, особенно если на машине крутятся разные сервисы. Упование на стандартные средства разделения привилегий и всякие gresecurity/openwall патчи, как раз и есть иллюзия безопасности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от EugeneWolf on 16-Май-07, 21:51 
А как насчет sftp ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от a5b on 17-Май-07, 01:24 
Лично я для таких целей использовал pam-chroot

А так  UNIX permissions не всегда можно везде проверить (и наблюдаем, например, дистр q3 в /tmp, где нет квот), кроме того iptables -m owner рулит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от andrew (??) on 17-Май-07, 09:25 
ИМХО, действительно проще сделать это при помощи pam-chroot. Использовал его во FreeBSD - работает с родным sshd и без дополнительный костылей-патчей. Работает один-в-один так же. Единственная проблема chroot - необходимость копирования библиотек и бинарников в домашнюю папку каждому пользователю. Хотя есть мысль использовать nullfs для этих целей, но как это будет работать для сотни-другой пользователей - хз :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Z_M email(??) on 17-Май-07, 10:08 
ой нульфс прекрасно помоему справляется со всем что надо :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Sergey email(??) on 17-Май-07, 16:18 
Согласен с большинством отметившихся выше. С одной стороны статья ничего, как Quick Guide для конкретного решения сойдет. С другой именно что велосипед с квадратными колесами. Если я хостинг-провайдер и даю рутовый доступ юзерам, я лично я бы выбрал более надежное решения, а главное более гибкое и настраиваемое чем chroot. Благо что есть Virtuozzo/OpenVZ. А для заливки контента на свой сайт связки ssh(scp/sftp) + WinSCP(это опционально) более чем достаточно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от кук on 17-Май-07, 17:45 
apt-cache show scponly

Description: Restricts the commands available to scp- and sftp-users
"scponly" is an alternative 'shell' (of sorts) for system
administrators who would like to provide access to remote users to
both read and write local files without providing any remote
execution priviledges.  Functionally, it is best described as a
wrapper to the mostly trusted suite of ssh applications.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от D4FF on 18-Май-07, 04:43 
FTP - вообще дегенеративный протокол, скажем не предназначен для работы через фаерволл.А если к нему прикрутить SSL получится ужосн*х - мало того что ублюдочный протокол, так еще и нестандартно нифига.И смысл всего этого?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от Z_M email(??) on 18-Май-07, 10:21 
а мне jail нравится =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от belkin on 18-Май-07, 10:27 
>FTP - вообще дегенеративный протокол, скажем не предназначен для работы через фаерволл.А
>если к нему прикрутить SSL получится ужосн*х - мало того что
>ублюдочный протокол, так еще и нестандартно нифига.И смысл всего этого?

В классическом FTP на сервер пытались возложить функцию управления нагрузкой для эффективного использования каналов и вычислительных ресурсов сервера. Отсюда и инициация от сервера. Теперь это пробуют решать с помощью bittorent и т.п. .

Разделение каналов на управляющий и данных тоже правильно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от deskpot email on 18-Май-07, 15:57 
>В классическом FTP на сервер пытались возложить функцию управления нагрузкой для эффективного
>использования каналов и вычислительных ресурсов сервера. Отсюда и инициация от сервера.
>Теперь это пробуют решать с помощью bittorent и т.п. .

на мой взгляд, не совсем верно. расскажите мне, пожалуйста, в каком из "классических" FTP-серверов это было реализовано? ;) в те годы, когда придумывали FTP, никто ни о той, ни о другой эффективности даже и не думал. если вы видели внутренности хотя бы одного из ftp-серверов хотя бы пятнадцатилетней давности, вы бы такое не говорили. =)

>Разделение каналов на управляющий и данных тоже правильно.

это всё оправдание программисткой лени и нежелания менять криво работающие старые схемы на более корректные новые. но, если вы так настаиваете -- попробуйте рассказать, чем же именно выгодно такое разделение, особенно, в таком топорном и неграмотном виде, как это сделано в FTP?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от scum (??) on 26-Май-07, 16:00 
Хе хе, у Таненбаума в его книге по сетям есть такое высказывание, что на заре интернета, некоторые протоколы придумывались студентами-недоучками, но потом все равно обрели свою популярность, так как сперва у них просто не было альтернатив, а потом к ним просто привыкли. Я вот все думаю - не FTP ли он имел ввиду?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Помещение SSH пользователей в изолированное окружение."  
Сообщение от deskpot email on 26-Май-07, 17:27 
>Хе хе, у Таненбаума в его книге по сетям есть такое высказывание,
>что на заре интернета, некоторые протоколы придумывались студентами-недоучками, но потом все
>равно обрели свою популярность, так как сперва у них просто не
>было альтернатив, а потом к ним просто привыкли. Я вот все
>думаю - не FTP ли он имел ввиду?

И FTP тоже. Хотя, как по мне, так в последние лет восемь более актуальны врождённые дефекты того же SMTP (мы же все помним, что какое-то время в сетях с SMTP open relay был нормой вообще, и тому были причины).

Впрочем, к Танненбауму тоже много претензий по тому, что он, всё-таки, довольно поверхностно представляет себе суть причин успешности конкурирующих решений (в т. ч. причин популярности того или иного протокола). Ну неинтересны ему такие вещи, и он о них даже думать ленится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру