chroot az OpenSSH-ban

Címkék

Damien Miller (djm@) egyik commit-jének megjegyzése szerint egy új szolgáltatás bukkan fel az OpenSSH-ban: a ChrootDirectory. A munka nyomán az sshd_config-ban használhatóvá válik a ChrootDirectory opció. Ennek megadásával bezárthatjuk a felhasználót úgy, hogy az csak a filerendszer egy meghatározott részéhez (például csak a saját "home" könyvtárához) férhessen hozzá, ahelyett, hogy "látja" az egész filerendszert. A részletek elolvashatók az Undeadly.org cikkében.

Hozzászólások

Szimpatikus

Ha ismered a Slackware-t, ismered a Linuxot.

az elso kettot felreneztem, szoval mea culpa :) legkozelebb olvasok.

ebben igazad van, tenyleg jo lesz, ha tamogatni fogja alapbol.

az openbsds elvekkel viszont lehet vitatkozni; en ez alatt persze az irjunk mindent nullarol ujra
a legszabadabb BSD licenc alatt elvet ertem :)

ez imho ertelmetlen, plane ha egy GPL -es progit irnak ujra.

Megmondom frankon, h en ezt a cikket vegig sem olvastam, de a libpam-chroot nem ugyanezt csinalta mar 1000 evvel ezelott?

Én is ezt kérdeztem magamban...
Ráadásul a pam-os megoldás nem csak ssh-ra működik, hanem console loginra, su-ra stb.

Viszont volt vele egy-két gond, pl. nem működött a jelszó nélküli bejelentkezés (publikus kulcs az authorized_keys-be a távoli gépen). Kíváncsi vagyok, megoldja-e az új módszer ezt a problémát.

(Gondolom ez a "Miert nem szereti vmiklos a PAM-ot?" kerdesre akart valasz lenni.)

-jo, hat ennyi erovel lehetne dobni egy csomo mindent, amiben volt(/van) security hole, kezdve a linux kernellel...
-itt 2003-as datumot latok, es nem hinnem, hogy ma olyan oriasi veszely lenne egy PAM (sot, az altalad linkelt changelogbol szamomra az jott le, hogy ott is az openssh volt a ludas nem a PAM)
-PAM nelkul hogy lehet [kenyelmesen] pl. smartcardos/pendriveos stb. authentikaciot csinalni?

ha egy 2003-as openssh bug miatt szerinted szar a pam (nem derult ki az sem, hogy magarol a rendszerrol, vagy valamelyik implementaciojarol van-e ilyen velemenyed), akkor igencsak lulz

gondolom helyette a getuid()-ot ajanlod, mint superior authentikacios megoldast :)

--
Unix, Perfectly "natural" after five or ten years.

csudálatos, hogy milyen komoly problémákat old meg a modern számítástechnika

2008 a csodak eve! :)

(ideje vo't ma')

Tehat sftp -ni lehetne, de ha mas is kell, pakolhatsz minedent(lib,shell,dev..) a chrootosdiba is.