winSCP-vel ne lehessen kilépni a /home/~user könyvtárból

Linux-security

winSCP-vel ne lehessen kilépni a /home/~user könyvtárból

  • 3055 megtekintés

( gmatyi | 2006. 06. 21., sze – 15:11 )

Sziasztok,

a fenn vázolt problémár szeretném én is megoldani, egyenlőre nem chrootolt környezetben.
debian sargem van, és feltettem az scponly csomagot, ezután létrehoztam egy usert, és beírtam shellnek, hogy /usr/bin/scponly

Próba: winscp, a winscp bátran kigyalogol.

Kérdés: Mit kell még beállítani, és hol?

végigolvastam, és azért tettem fel ide a kérdést, mert nálam nem működik.
Természetesen meglehet, hogy nem értettem meg az scponly lényegét.

Az scponly chrootolásról csak annyit, hogy amikor installáltam a csomagot, akkor megkérdezte, hogy chrootolva legyen e vagy nem, de hozzáfűzte, hogy ha chrootolni akarom, akkor sajnos setuidos lesz a shell,ami ugye komoly biztonsági rés.

A gépemen egyébként az apache-nak és a mysql-nek csináltam egy-egy külön chroot-ot. Nyilván, amikor rootként winscpzek be, akkor az egész gépet szeretném látni, nemcsak valamelyik jailt.

Ezen környezetben hova chrootoljam az scponly-t? Talán egy külön jailba? A www/felhasznalo hoz pedig készítsek egy hard linket??

Kérlek kicsit fejsd ki bővebben, mert a doksiból számomra egyátalán nem volt világos ez az scponly.

Nalam ez ugy nezett ki, hogy a /home ala letrehoztam egy felhasznalot, shellnek megadtam, hogy scponlyc (itt fontos a c, mert ez jelenti, hogy chrootolt lesz), aztan /usr/share/doc/scponlyc alatt talaltam azt hiszem egy shellscriptet, amit futtatva szepen letrehozta nekem a felhasznalo konyvtarja ala a chrootolt kornyezetet. Az egesz annyibol all, hogy bemasol 3-4 libet, meg par configfile-t letrehoz, meg az alapkonyvtarakat. Ez utan kesz is volt. Szoval szerintem felhasznalokent chrootold be oket, akiket nem akarod, hogy kijussanak a konyvtarukbol. A www felhasznalod.. hat nem tudom azt hogy lenne erdemes, lehet, hogy nem a legszebb megoldas, de csinalhatsz egy felhasznalot chrootolva, akinek a home-jaba mount --bind -el bemountolod a documentrootot, es akkor tudja szepen szerkesztgetni a dolgokat.

Szerintem itt arra gondolt az illeto, hogy allitsd be, hogy csak kulccsal lehessen sshzni a gepre, sima jelszoval ne. Tehat generalsz egy publikus meg privat kulcs part, aminek adsz jelszot, es igy csak ezzel a kulccsal (vagy masik generalt kulcsokkal) plusz a hozzatartozo jelszoval egyuttesen tudsz sshzni.

Hogy a fenti megoldas a legbiztonsagosabb-e? Fogalmam sincs, majd a hozzaertok megmondjak. Az viszont biztos, hogy gyors, es viszonylag egyszeru megoldas.

bocs, az egyik bekezdésemre ott a válasz a threadben.

Szóval eddig 2 megoldást írtatok.

- az egyik a libpam-chroot,
- a másik pedig amkor az scponly úgy installálod, ahogy azt fennt írtad.

én pedig azt kérdeztem, hogy az scponlyt miként állítod be úgy, hogy az ne legyen setuidos.

Üdv. Gábor

( kupcsik v | 2006. 06. 22., cs – 13:34 )

Latom, mar megtalaltad a megoldast. Egy masik lehetoseg az rssh hasznalata. Chroottal is hasznalhato es ugy mar megfelel a cimben kiirt kovetelmenyeknek. Nalam nagyon szepen mukodik.

( Névtelen (nem ellenőrzött) | 2004. 04. 29., cs – 11:40 )

Errol mar volt szo a forumban korabban.
Forum temakor: Security-all
Tema: jail sftp user

En vegul az scponly-t tettem fel, eddig bevalt.
Abban van egy sajat groups file, amit le kell forditani, es bemasolni a megfelelo helyre. De ez le van irva benne. Nekem ugyan nem mukodott, ha oda masoltam, ahova o irta ($target/bin/), ugyhogy a megoldas a groups fajl $target/usr/bin/-be valo masolasa jelentette.

Yndy

( Hunger | 2004. 04. 29., cs – 14:00 )

scponly nem eleg biztonsagos szerintem... egy modositott sftp-server sokkal jobb megoldas. (WinSCP is tamogatja)

( kasa | 2004. 04. 29., cs – 14:43 )

[quote:c5905313f8="hunger"]scponly nem eleg biztonsagos szerintem... egy modositott sftp-server sokkal jobb megoldas. (WinSCP is tamogatja)

Konkrétabban ?
Miért nem biztonságos ?
Melyik sftp-server-t javaslod ? / Hogyan ? /

( Névtelen (nem ellenőrzött) | 2004. 04. 28., sze – 15:35 )

Sziasztok!

A probléma a következő. Adott egy linuxos szerver és windowsos kliensek, melyek winSCP-vel lépnek be a szerverre és azon keresztül másolnak fel állományokat. winSCP-s kliensek simán ki tudnak lépni a saját könyvtárukból és mászkálni tudnak a szerver egyéb könyvtáraiban. Ez nem jó, ezt kellene megszüntetni.

Van valakinek valamilyen tippje?

Köszi:

Mac

( kisindian | 2004. 04. 28., sze – 15:40 )

Jail ?

http://www.jmcresearch.com/projects/jail/

( kasa | 2004. 04. 28., sze – 15:45 )

Nemrég csináltam ilyet.
Nekem Debian / Sarge / -on az scponly lett a megoldás.

( Névtelen (nem ellenőrzött) | 2004. 04. 28., sze – 16:02 )

Kasa, mondanál valamit róla bővebben?

Nálam a szerver Debian/woody

Kösz

Mac

( kasa | 2004. 04. 28., sze – 16:57 )

[quote:f226e9d849="Mackosajt"]Kasa, mondanál valamit róla bővebben?

apt-get install scponly
cd /usr/share/doc/scponly/setup_chroot
chmod u+x setup_chroot.sh
még azokat is futtathatóvá kell tenni amiket hív. (addscp.sh, stb)

Majd setup_chroot.sh és válaszolsz a kérdésekre.

Így lesz egy olyan user-ed aminek a shell-je korlátozott a home könyvtárjára.

( Névtelen (nem ellenőrzött) | 2004. 04. 28., sze – 21:35 )

Kasa!

Köszi a leírást. Már majdnem teljesen sikerült vele a problémát megoldani, még annyi van, hogy a winSCP belépéskor hiányol egy groups file-t. De ilyent nem találtam sehol. Honnan tudom megszerezni?

Kösz

Mac

( kasa | 2004. 04. 29., cs – 07:56 )

Köszi a leírást. Már majdnem teljesen sikerült vele a problémát megoldani, még annyi van, hogy a winSCP belépéskor hiányol egy groups file-t. De ilyent nem találtam sehol. Honnan tudom megszerezni?

Szerintem ez a shellutils csomag része.
Bár kétlem, hogy ez ne lenne telepítve nálad.