jail sftp user

Security-all

jail sftp user

  • 2556 megtekintés

( Névtelen (nem ellenőrzött) | 2004. 03. 31., sze – 08:32 )

Ezt lattatok mar?
http://members.chello.hu/sallaia/chroot.html

Velemeny?

Yndy

( begin | 2004. 03. 31., sze – 09:06 )

Annyi biztos, hogy ez a jóember nem hallott a proftpd-ről. Ugyanis azzal sokkal egyszerűbben megoldható a dolog. Az alap config-jába 1 sort kell beírni:
DefaultRoot ~

( Hunger | 2004. 03. 31., sze – 09:14 )

Én az sftpt chrootoltatom.
Annyi a szépséghibája, hogy így az sftp-servernek suid rootnak kell lennie, mert ugye chrootolni csak akkor lehet...

diff itt.

( zwei | 2004. 03. 31., sze – 09:15 )

[quote:f44243cdd4="Yndy"]Ezt lattatok mar?
http://members.chello.hu/sallaia/chroot.html

Velemeny?

Yndy

Egész jó. Tetszik, hogy nem egy bizonyos Linux disztribuciót feltételez...

Én a következőképp csináltam chrootot debianhoz.

szükséges csomagok:
debootstrap
libpam-chroot

Apt-al mindkét csomag telepíthető.

A /jail könyvtár lesz a chroot alapja. (mkdir /jail)
debootstrap woody /jail/ http://ftp.debian.org/debian/
Ez felpakol egy alap debiant(~20M) a /jail alá

/etc/pam.d/ssh-ba beleírni:
session required pam_chroot.so

/etc/security/chroot.conf ba vegyel fel minden usert akinek chrootot akarsz:
usernev /jail

A /jail/etc/passwd be is vedd fel a usereket. (Hogy a chroot után a userID-g, és group IDk rendben legyenek. )

Ennyi.

Hátránya, hogy kicsit nagy a chroot környezet, és az összes user ugyanabba a börtönbe kerül, viszont így bármilyen programot könnyen tudsz chrootolva futtatni.
Egyéb tippek:
Ha rootként csinálsz egy chroot /jail -t utána a
chrootos környezetet tudod apt-al updatelni, telepíteni bele extrákat, stb.
(persze a /jail alatt konfigurálni kell az apt-ot, stb...)

üdv: Zwei

( Hunger | 2004. 03. 31., sze – 09:20 )

Na itt van róla a leírás, hogy maradjunk a topicnál... (sftp)

( Hunger | 2004. 03. 31., sze – 10:06 )

Nekem ez az scponly nem jött be... szerintem a sftp biztonságosabb azzal a módosítással amit írtam.

( Finrod | 2004. 03. 31., sze – 11:04 )

az rssh (sftp es/vagy scp only shell ssh-hoz) is tamogat chroot-ot, meghozza userenkent konfiguralhatoan, es benne is van a debianban.

( spymorass v | 2003. 05. 26., h – 20:22 )

Biztos van valaki, aki beleszaladt már ebbe a dologba.

Azt szeretném elérni, hogy openssh alatt az sftp szerverre amikor belép a júzer, akkor ne tudjon kimenni a home könytárjából (proftpd alatt defaultroot ~). Találtam egy két megoldást rá, de ahhoz újra kellene fordítanom az egész openssh-t, meg pöcsölni is kellene egy kicsit, és azt nagyon nem akarom, mert olyan jó az nekem, hogy apt-get update-el frissítem a rendszert. ;)

Ha valaki tud rá megoldást, akkor segítsem már nekem.
Előre is köszönöm.

( Névtelen (nem ellenőrzött) | 2003. 05. 26., h – 21:32 )

Ha a hegy nem megy Mohamedhez... :D
A user home-ja legyen a gyökér :lol:
(na vissza is vontam ezt a baromságot... egyébként engem is érdekelne...)

B.

( szaszg | 2003. 05. 27., k – 02:10 )

Hali!

Mar miert ne lassa a szegeny user azt, amit amugy is lathat? (ma'rha a gep elott ul, es nem ssh-zik...) Amugy meg, ha valamilyen modon beloned, mivel akadalyozod meg a user-t, hogy a kovetkezot tegye:
[code:1:67bfe35e1e]user@tavoligep:~$ ssh tegeped
user@tegeped:~$ cp /sbin/init .
user@tegeped:~$ exit
user@tavoligep:~$ sftp tegeped
sftp> get init
sftp> bye[/code:1:67bfe35e1e]

Vagy akar:
[code:1:67bfe35e1e]scp user@tegeped:/sbin/init user@tavoligep[/code:1:67bfe35e1e]

Az ssh imho nem arra valo, hogy ugymond biztonsagos ftp-szerverkent hasznaljuk, hanem arra, hogy a felhasznalok az interneten keresztul biztonsagosan (sajat es a rendszer szempontjabol is) tudjak hasznalni a gepet (ugy mintha elotte ulnenek). Ezt teszi lehetove az ssh a harmadik fel szamara 'megfejthetetlen' titkositasaval...

A megoldas: korlatozni kell a user hozzafereset a rendszerhez (chmod o-rwx [nem user directory])!

Persze mindig az a kerdes mi a cel:

1., mit akarsz vedeni az sshval ftp-zes alatt?
a., jelszokat (bejelentkezest),
b., az adatokat is
2., Milyen volumenu ftp-zest akarsz?
a., ftp-szerver
b., csak par file...
3., Mit akarsz a usereknek engedni?
a., csak ftp
b., ftp + egy-ket mas dolog
c., mindent, ftp-t is

Ezeken erdemes vegigjarni. Ha ftp szervert akarsz felallitani csak ftp-vel, akkor kulon gep, csak olyan adatokkal, beallitasokkal amik sekit nem zavarnak (user -wx)
Ha csak par file-rol van szo, es ftp+egy-ket dolog, de mindent olyan titkosan akarsz kezelni, hogy ihajj (mi ertelme? a user a sajat adatainak a titkossagarol gondoskodjon sajat maga :roll: ), es szinte semmit nem akarsz megengedni a user-nek, amit megtehet a gep elott ulve, akkor ssh-t egy olyan login scripttel hasznalni, ami tavoli belepes eseten egy meg nem szakithato menure korlatozza a dolgot es minden csak a terminalon keresztul mehet (ftp-t kivaltani kermittel, z/x/ymodemmel).

Ha a ket extrem eset kozott valahol, akkor esetleg erdemes szorakozni a ftp port forwarding-al (ha jol tudom nem egyszeru ravenni, hogy az adatcsatorna is ssh tunnelen menjen), vagy melyebben beleasod magad a dologba...

Zsiraf

U.i.: Az ssh-n keresztul, (hacsak nagyon szet nem ganyolod az ssh-t) ugyanazt tudja megcsinalni a user, mintha a gep elott (a konzolnal) ulne, es ott verne a gombokat... :lol: Na ja, erre talaltak ki!

( Névtelen (nem ellenőrzött) | 2003. 05. 27., k – 05:55 )

Vagy csinalsz egy csupasz chrootot, es abba tarolod a user homejat, meg persze abba chrootolod bele az sftp-servert. Nem a homejaba fog belelatni, de azert ez se ad sokkal nagyobb szabadsagot.
A masik lehetoseg, hogy csinalsz vmi SSLes ftpdt. Az is secure, es betudod chrootolni akarhova a usert.

( spymorass v | 2003. 05. 27., k – 10:31 )

[quote:b9b457b89f="szaszg"]
Mar miert ne lassa a szegeny user azt, amit amugy is lathat? (ma'rha a gep elott ul, es nem ssh-zik...)

Csak titkosított ftp-t szeretnék engedni neki, bejelentkezni nem tud távolról ssh-val, valamint a gépet nem használhatja (szerver).

[quote:b9b457b89f="szaszg"]
1., mit akarsz vedeni az sshval ftp-zes alatt?
a., jelszokat (bejelentkezest),
b., az adatokat is
2., Milyen volumenu ftp-zest akarsz?
a., ftp-szerver
b., csak par file...
3., Mit akarsz a usereknek engedni?
a., csak ftp
b., ftp + egy-ket mas dolog
c., mindent, ftp-t is

1. a
2. b
3. a

Ahogy elnézem a válaszaimat, elég lenne egy ftpd+ssl is :). Azért gondoltam először az sftp-re, mert ugyebár titkosított, valamint tartalmazza az ssh, és fel lehetne használni, de a chroot nagyon kellene hozzá.
Akkor már csak az a kérdésem, hogy milyen ftp szervert tudtok ajánlani, ami tudja az ssl-t is. Debian alatt a netkit féle ftp szervert találtam. Még nem próbáltam ki, tud valaki róla mondani valamit?

( Névtelen (nem ellenőrzött) | 2003. 05. 27., k – 15:51 )

[quote:426b7384f1="spymorass"]Ahogy elnézem a válaszaimat, elég lenne egy ftpd+ssl is :). Azért gondoltam először az sftp-re, mert ugyebár titkosított, valamint tartalmazza az ssh, és fel lehetne használni, de a chroot nagyon kellene hozzá.
Akkor már csak az a kérdésem, hogy milyen ftp szervert tudtok ajánlani, ami tudja az ssl-t is. Debian alatt a netkit féle ftp szervert találtam. Még nem próbáltam ki, tud valaki róla mondani valamit?

proftpd tud olyant, meg virtual usereket is.

( spymorass v | 2003. 05. 27., k – 17:29 )

[quote:3821be736a="roadr"][quote:3821be736a="spymorass"]Ahogy elnézem a válaszaimat, elég lenne egy ftpd+ssl is :). Azért gondoltam először az sftp-re, mert ugyebár titkosított, valamint tartalmazza az ssh, és fel lehetne használni, de a chroot nagyon kellene hozzá.
Akkor már csak az a kérdésem, hogy milyen ftp szervert tudtok ajánlani, ami tudja az ssl-t is. Debian alatt a netkit féle ftp szervert találtam. Még nem próbáltam ki, tud valaki róla mondani valamit?

proftpd tud olyant, meg virtual usereket is.

Proftpdvel hogy csinálsz ssl-es kapcsolatot? Mert én az oldalukon azt láttam, hogy még fejlesztés alatt van az a modul.

( Névtelen (nem ellenőrzött) | 2003. 05. 27., k – 18:04 )

[quote:9ad8c8d7cc="spymorass"]Proftpdvel hogy csinálsz ssl-es kapcsolatot? Mert én az oldalukon azt láttam, hogy még fejlesztés alatt van az a modul.

Debianos verzio megvan patchelve. Nezd meg.

( spymorass v | 2003. 05. 29., cs – 09:22 )

Utánanéztem, hogy debianba hogyan lehet megoldani a dolgot, de nem találtam rá megoldást. =((( Tudnál segíteni, hogy miket kell a proftpd.conf-ba beírni?

( zoliky | 2004. 04. 25., v – 00:10 )

talatam egy scriptet mely chrootolja az sftp-t OpenBSD rendszereken.

http://www.gtd5.net/public/projects/systrace_sftp_jail.tar.gz

( Névtelen (nem ellenőrzött) | 2003. 05. 29., cs – 15:15 )

[quote:521b7111d9="spymorass"]Utánanéztem, hogy debianba hogyan lehet megoldani a dolgot, de nem találtam rá megoldást. =((( Tudnál segíteni, hogy miket kell a proftpd.conf-ba beírni?

apt-get source proftpd
cd proftpd-1.2.6 && ./debian/rules
less build-tree/proftpd-1.2.6/{README.TLS,sample-configurations/basic.conf}

De lehet, hogy ezek a deb package dzsel is felkerulnenek... Sot, biztos :P