Helló!
Kellene egy chroot-olt sftp szervert szállítanom RHEL4-en. A problémám ott van, hogy szokás szerint a Redhat nem segít ennek a kivitelezésében. A 4-ben levő ssh csomag nem támogatja a chroot-ot. Amit nem tehetek meg:
- nem patch-elhetem fel az ssh szervert semmivel
- nem használhatok 3rdparty programokat (rssh)
Találtam rá iszonyú megoldásokat a google segítségével, de érdekelne, hogy van e valaki aki valami egyszerűbb módszerrel meg tudta oldani a dolgot. Itt egy példa amit használhatnék, de a többi is hasonló dolgokat ír szóval az ilyen "csinálok egy teljes env-et a chroot dir-en belül" dolgokat ha nem muszály hanyagolnám, pláne az passwd átmásolását.
http://blog.wanderinglost.ca/?p=9 vagy itt a http://ixx.blogspot.com/ (és itt az ssh-s írás a közepe környékén)
Gondoltam arra is, hogy acl-el nem engedem egyszerűen feljebb lépni a usert, azaz a ..-ra nem lesz futtatási joga.
Van valakinek bejáratott módszere ötlete?
- 1422 megtekintés
Hozzászólások
Esetleg ez: http://mysecureshell.sourceforge.net/ ?
- A hozzászóláshoz be kell jelentkezni
Mint ahogy már mondtam, nem rakhatok fel semmit sem pluszban....csak az lehet fent, ami az ISO-n megtalálható. Ennyiből fordíthatnék rá egy új openssh-t is, ami már tudja a chroot-ot alapból, de ugye nem lehet.
- A hozzászóláshoz be kell jelentkezni
up
- A hozzászóláshoz be kell jelentkezni
Csinalsz egy chroot-os full alaprendszert (az is lehet rh4), abban levo sshd-t masik portra bindolod, es oda adsz accesst annak akinek akarsz. Persze ez nem egy szigoruan vett sftp chroot, de a celnak talan megfelel. Latom, hogy azt irod ezt hanyagolnad, de amugy milyen mas lehetoseged van, ha nem tehetsz fel uj / masik programot?
- A hozzászóláshoz be kell jelentkezni
a vsftpd része az RHEL4-nek és tud sftp-t (pontosabban ftp over ssl-t)+chroot-ot.
Csak a pontosítás végett, normál scp/sftp klienssel (pl winscp) ez nem működik.
- A hozzászóláshoz be kell jelentkezni
Ja ha ezek az állatok nem tiltották volna meg hogy vsftp-n menjen az egész.
A kérdésemre a válasz annyi volt, hogy: "mer azér, mer ők ezt mondják, ne' itt a High Level Design, amibe bele van írva hogy ez köll hülye!"
Na ez az....a kliensek winscp-vel/putty-al fognak csatlakozni.
Megoldottam kézimunkával, amitől meg akartam menekülni. De úgy néz ki nem tudtam.
A chroot-ot a pam_chroot csinálja. Mivel egy olyan verzió van a 4-esben amit már Danton-ék is kivágtak a forradalom idején mert még nem volt a group alapú chroot implementálva benne, a maradékot acl-el intéztem el.
Mindettől meg akartam kímélni magam, de ha a Redhat-tal kezd az ember ne akarjon gyors és fájdalommentes megoldásokat. :)
Az már más kérdés, hogy hogy fogják ezeken a rendszereken a usermanagement-et csinálni. De valószínűleg csinálnom kell majd egy kisebb menüvezérelt shell alkalmazást. :(
- A hozzászóláshoz be kell jelentkezni