Jail + Ssh + Nagyvilag...

UNIX haladó

Sziasztok!

A következő probléma megoldásán agyalok, és gondoltam kikérem tapasztalatotokat.

Egy szolgaltatast szeretnek inditani, ahol is szukseg lenne, hogy a felhasznalok ssh loginnal rendelkezzenek. Mivel nem szeretnem, hogy egymasrol barmi tudomast is szerezzenek, ezert azt talaltam ki, hogy kulon jail-t kap mindegyik.

En idaig linux-ban tevekenykedtem, de megtetszet a FreeBSD jail rendszere (meg nem probaltam).

A problemam, hogy a user kivulrol szeretne majd belepni. Van egy HOST, es vannak Virtualis hostok, melyek jail-el mennek. A virtualis hostok a belso cimtartomanybol kapnanak IP-t (192.168.x.x), igy kivulrol nem latszanak. A user a HOST-ot latja, a VirtualHostokat kivulrol nem. Ha kulon kiforwardolom a portokat, akkor mindenki kulon-kulon mas-mas porton ssh-zik, szoval olyan csunyacska (bar biztonsagosnak biztonsagos). De igazabol nem ilyen megoldasra gondoltam.

Megoldhato -e FreeBSD-n, hogy az ssh automatice behajitsa az illetot az o sajat jail-jebe?
Linux alatt, chroot-ra van patch az sshd-ra, itt van e valami megoldas?

Varom az otleteket...

  • 2334 megtekintés

( nucc | 2008. 02. 11., h – 14:04 )

igen, csak hogy ez chroot, ami az en velemenyem szerint mas.

aztan javitsatok ki ha nem, nem csinaltam meg ilyet, most csak az otleteket gyujtom, hogy merre induljak.

minden jail egy tartomanyt lat el. olyan, mintha egy webkiszolgalo lennel, es egy domain tartomanyt behajitok jailbe. Gondolkodhatunk ugy is, mintha virtualis servereket futtatnek, amiket masok berelnek tolem, viszont belso IP-n futnak, es mondjuk csak webet lehet naluk elerni kivulrol, meg ssh-t. A web megoldott, az ssh meg nem.

( Tyra3l | 2008. 02. 11., h – 15:30 )

elso kerdes az lenne, hogy miert van szukseg a usereknek az ssh-ra.

Tyrael

( nucc | 2008. 02. 11., h – 15:45 )

A programnak, amit kapnanak van egy adminisztacios programja, ami ssh-n keresztul kuldi a parancsokat a servernek. Ezzel erheto el, hogy lokalis gepen tudjak menedzselni az applikaciot.

A lenyeg a lenyeg, szukseg van ra.

ez nem indokolja az ssh-t.
miert adsz hozzaferest mindenhez, ha csak bizonyos feladatokat/parancsokat kell tudnia elvegeznie a felhasznalonak?
helyedben irnek egy api-t a kliens es a szerver koze, amin ezt a korlatozott szamu feladatot el tudja vegezni.
es akkor osszesen csak 1 jail kell a szerver oldali resz kore.

Tyrael

Had hivjam fol a figyelmed arra, hogy attol hogy egy felhasznalo jailben vagy akarmiben van, ha shell accessje van az kb. azt jelenti hogy megbizol benne. Lehet, hogy mas usereket nem lat, de a gepet nagyon konnyen megfektetheti ha olyanja van.

$0 &; $0 &
--
while :; do mkdir x; cd x; done
stb.. stb..

==
`Have some wine,' the March Hare said in an encouraging tone.
Alice looked all round the table, but there was nothing on it but tea.

Igen, valoszinuleg ez jo megoldas.

BSD user leven en ezt mondjuk nem tudnam hasznalni, de azert nekem is van otletem, hogy kene (BSD-n).

Szerintem kb. 2 ora alatt lehet irni egy login shellt a 0rol ami nem tud mast mint a szukseges 5-10 programot az ellenorzott parameterekkel futtatni. Persze lehet cifrazni, akkor mar legyen suid root, chrootoljon a user home jaba, aztan cserelje le az uid-jat a userere. Ez utan olvassa soronkent az inputot, majd vegrhajtja, ami kb annyi minthogy osszehasonlitja a megadott progikkal, hogy melyik aztan a megfelelot futtatja, vagy semmit ha egyik se.

==
`Have some wine,' the March Hare said in an encouraging tone.
Alice looked all round the table, but there was nothing on it but tea.

Az otlet ott van. A sajat shell az. Mar neki is kezdtem megirni, kivancsi vagyok kepes vagyok e ra 2 ora allatt:) Nem tudom neked jo egy egy olyan shell amiben kb . 5 elore bedrotozott progit lehet futtatni, de ha kell odaadom. Ja es persze chrootos lesz :)

[szerk]
Letelt a ket ora :) Ebbol mar az lesz hogy holnap befejezem melo utan. Nemikepp modositok az eredetin mert tok folosleges szurni mit hajthat vegre ha ugyis csak azt ami bent van a chroot-ban. Nem a home-jara chrootolok, hanem egy bedrotozott konyvtarra, ami tartalmazza tobbek kozt a home-jat. Igy ha sok user van, a kozos binarisokat / libeket hasznalhatjak, konnyebb up to date tartani.
[/szerk]
==
`Have some wine,' the March Hare said in an encouraging tone.
Alice looked all round the table, but there was nothing on it but tea.

Akkor kerdezek, latom BSD-kben otthon vagy. FreeBSD-ben van ez a jail. Ez nem teljesen az, mint linux rendszer alatt a chroot, mert a processeket, memoriakezelest is izolaltan kezeli (ha jol ertelmeztem). Na most minden ilyen jail rendelkezik egy IP-vel (ezt meg kelladni), amin keresztul majd el lehet erni, es ez inditaskor bekerul egy jailkezelobe. A jail konfiguralasa vagy a Host geprol megy, vagy fut benne egy ssh daemon, amin keresztul a illeto belep, es modositgat.

Szoval amire ki szeretnek lyukadni, hogy ugy erzem a login utan chroot itt nem megoldas, hisz nem a megszokott chroot van mogotte (szoval nem olyan mint a linuxos).

Rosszul latom?

Nem azt fogja csinalni amit akarsz, azaz teljesen jol latod.
A jail AFAIK egy wrapper a chroot ra, par plusz szolgaltatassal, pl kulon IP. (FIXME)

Amit en mondtam az az hogy 1 IP-n fut egy sshd, ami mint thug ramutatott mar onmaga is tud chrootolni - tehat azt a shellbe megse kell - mar csak egy olyan shell kell ami eleg kicsi ahhoz hogy ne legyen rajta mit hackolni. Nuku parancsertelmezes, nuku pipe nuku kornyezet stb. Kell bele pwd meg cd meg parancsinditas.
==
`Have some wine,' the March Hare said in an encouraging tone.
Alice looked all round the table, but there was nothing on it but tea.

A chroot egyaltalan nem kezeli kulon a processeket azaz latszik az osszes process a chrooton bentrol is, es sztem a jail se, de konnyu errol megbizonyosodnod: 


# jail / almafa.hu 192.168.1.1 /bin/ps

Es akkor lenyegeben siman tudok chroot-olni FreeBSD jailnel is?

A FreeBSD jail szerintem alul valahol chroottal mukodik.
==
`Have some wine,' the March Hare said in an encouraging tone.
Alice looked all round the table, but there was nothing on it but tea.

szerintem tenyleg a lyukas rud, de ne legyen cso esete, de hatha ez segit valakinek: 


     -r      Restricted shell.  A shell is ``restricted'' if this option is
             used.  The following restrictions come into effect after the
             shell processes any profile and ENV files:

             o   The cd command is disabled.
             o   The SHELL, ENV, and PATH parameters cannot be changed.
             o   Command names can't be specified with absolute or relative
                 paths.
             o   The -p option of the built-in command command can't be used.
             o   Redirections that create files can't be used (i.e. `>', `>|',
                 `>>', `<>').

ksh, mksh. az utobbi ajanlott

--
Unix, Perfectly "natural" after five or ten years.

- tudnal egy peldat mondani hogy kell megadni, nagyon erdekel. (Mintha a man nem nagyon irna errol)
- akarhogy is, inditasz neki egy interaktiv shell-t, amiben en csak akkor biznek meg ha a forrasa kevesebb par szaz sornal, es nem lehet benne semmit csinalni, kiveve amit muszaj.

- szoval az sshd tud chrootolni, akkor azt nem is kell nekem - kosz az infot.
==
`Have some wine,' the March Hare said in an encouraging tone.
Alice looked all round the table, but there was nothing on it but tea.

Ez szep, meg jo lenne, ha egy jail lenne.

Olyan, mintha lenne egy irodaban 10 gep, mindegyik gep 1-1 felhasznaloe. Van egy szerver, ami az internetre csatlakozik. Mogotte az irodai gepek elrejtve.

Jon A user, es a szerverre sshzik. Az ssh daemon latja hogy A felhasznalo jott, igy ot forwardolja az A gepehez. Innentol a szerver csak forward funkciot lat el a szerver es A gepe kozott, A igazabol az o sajat gepen talalhato ssh-n keresztul lep be, es mar bent is van a gepen.

( budacsik | 2008. 02. 11., h – 22:43 )

Lehet, hogy neked nem lesz jo.
Nekem is be kell engedni ssh-n par usert, de nem szeretnem ha barmit csinalnanak, Win-es kliensek, es csak a puttyos port forward miatt kell.

Ugy oldottam meg, hogy keszitettem egy /bin/kusers (nemtudom mar miert ezt a nevet adtam neki) es a tartalma ennyi:
#!/bin/bash

echo ""
echo "Nyomj entert ha ki szeretnel lepni ...."
read i

Es ezt adtam meg nekik a 

/etc /passwd

-ben.

Ez a problemadat ugy oldhatna meg, hogy bizonyos szukseges parancsokat engedelyezel.
-
budacsik

bocs, de most nem ez kell nekem.

ezzel csak korlatoznam max a parancsokat, de meg mindig csak a szolga gepen vagyok. es nem tudja, melyik jail fele forwardolja az ssht.

Igazabol nekem egy ssh forwardolo kene, ami tudja, hogy az adott felhasznalot melyik ssh server fele forwardolja. Letezik ilyen?

( nucc | 2008. 02. 12., k – 13:44 )

Mindenkinek szeretnem mondani, nem velemenyre van szuksegem, hanem megoldasra. Ha nem tudod, akkor ne tomd tele tok felesleges hozzaszolasokkal. Koszonom!

( nucc | 2008. 02. 14., cs – 13:28 )

A problema meg1x, kis mesevel osszekotve

Van 1 darab gep (SERVER), tovabba ezen fut x darab virtualis gep (HOST1, HOST2, ... , HOSTn)

IP-k:
Server : 81.231.233.112 (ez most pelda, lenyeg hogy a netrol ez latszik kifele)
HOST1: 192.168.1.1 (rajta SSHD)
HOST2: 192.168.1.2 (rajta SSHD)

Van 2 felhasznalo, JANCSI es JULISKA.

Jancsi a HOST1-en van elhelyezve, Juliska meg a HOST2-n.

Jon Jancsi, es szeretne belepni a gepere.

ssh jancsi@SERVER

a Server elkeri a felhasznalonevet, latja Jancsi lesz az. Tudja, hogy Jancsi a HOST1-en van elhelyezve, ezert valami modon csinal egy forwardot HOST1 fele. Jancsi beuti a jelszavat is, es ha helyes az egesz, akkor bent van HOST1-en.

Na most ez chroot kornyezetben mar megoldott, csak ott az ssh-daemon behajitja a chroot-ba login utan. De ha Vmware-k futnak a HOSTn-eken, akkor mar nem ilyen egyszeru.

Na erre keresem a megoldasokat, vagy otleteket...