Forum Debian Users Gang

TuX · 2007-01-18 22:55:43

Witam pisałem już na innym forum z podobnym problemem ( dotyczył proftpd ) Częściowa Pomoc dostałem, z problemem sobie poradziłem. Teraz identyczna sytuacja z demonem ssh. Używam debiana 3.1 mam dostęp tylko z ssh ( root ) - żadnego środowiska graficznego - to jest serwer dedykowany.
Więc chce zrobić 2 rzeczy z ssh. Będę wdzięczny za waszą pomoc.

Rzecz pierwsza, czyli ssh chrooting dużo o tym czytałem ale nic z tego nie rozumiem. Prosił bym o " poprowadzenie za " łape ". SSH Chrooting czyli blokada możliwości dostępu do / oraz home innych użytkowników przez zwykłego usera. Polega to na tym że zwykły użytkownik jest uwięziony w swoim home i nie może z niego wyjść. Dam przykłady.

Aktualnie jest tak: ( defaultowo po dodaniu użytkownika )

użytkownik ssh numer 1 o nicku; tester przy logowaniu automatycznie jest przenoszony do katalogu /home/tester ale może z niego wyjść do /home/ ( do / też - czyli może wejść gdzie chce - tylko nie do /root/ ).

użytkownik ssh numer 2 o nicku; ktostam przy logowaniu automatycznie jest przenoszony do katalogu /home/ktostam/ ale może z niego wyjść do /home/ ( do / też - czyli może wejść gdzie chce - tylko nie do /root/ ).

a chce zrobić by było tak:

użytkownik ssh numer 1 o nicku; tester przy logowaniu automatycznie jest przenoszony do katalogu /home/tester i nie może z niego wyjść do /home/ ani do /

użytkownik ssh numer 2 o nicku; ktostam przy logowaniu automatycznie jest przenoszony do katalogu /home/ktostam/ i nie może z niego wyjść do /home/ ani do /

Następna rzecz; potrzebuje dać użytkownikowi możliwość wykonywania tylko paru komend. Czyli zablokować wszystkie komendy oprócz 2-3. Chodzi oto że np;

użytkownik ssh numer 1 o nicku; tester może uruchomić komendę cd komendę wget oraz komendę cp ale już żadnej innej.

Mam nadzieje że mnie zrozumieliście. Naprawdę starałem się wytłumaczyć to dokładnie.

Czekam na odpowiedź i liczę na pomoc.

Pozdrawiam!

joker · 2007-01-19 07:20:31

Tu masz jaila: http://pld.linux.edu.pl/chroot

TuX · 2007-01-19 18:22:53

Tu masz jaila: http://pld.linux.edu.pl/chroot

Witaj! Dziękuje za odpowiedź. Po krótkim przeglądnięciu strony widze że jest to opisane dosyć dokładnie a nawet po polsku ( domena edu.pl ;) ) Już próbuje z tym zrobić. Jeszcze czekam na odpowiedź na drugie pytanie.

Pozdrawiam!

///EDIT - po 2 minutach - Strona domowa ani download podany na tej stronie nie działa. Cóż znajdę pliki w google.

///EDIT - po 5 minutach - http://sourceforge.net/projects/jail/ :)

///EDIT - po godzinie - No było parę błędów ale dało rade teraz mam problem przy logowaniu do ssh pokazuje mi się

jail: can't canonize path "/bin/bash". Bad path?

I okno zamyka się ;) Więc? Jak to naprawić?

///EDIT - 30 minut później - chyba wiem w czym jest problem.

4. Tworzenie konta w nowym środowisku.

W pierwszej kolejności musimy stworzyć takiego użytkownika w systemie.
Zróbmy to w ten sposób:

[root@dark root]# mkdir /home/chroot/home
[root@dark root]# useradd -d /home/chroot -s /usr/bin/jail gosc
[root@dark root]# passwd gosc
New UNIX password:
Retype new UNIX password:
[root@dark root]#

Teraz pora na krótki komentarz. Kazaliśmy systemowi założyć konto użytkownika,
którego katalog domowy znajduje się w /home/chroot. Powłoką usera będzie
/usr/bin/jail. Ścieżka dostępu do powłoki jest uzależniona od zawartości opcji
INSTALL_DIR, którą ustawialiśmy w pliku Makefile podczas instalacji.
Wartość INSTALL_DIR=/usr powoduje ustawienie ścieżki na /usr/bin/jail.

Tutaj chyba tylko nie wiem jak ma być ustawione. Tego nie rozumiem.

TeHaX · 2007-01-19 22:44:39

przeczytaj jeszcze raz ten artykuł, u mnie poszło praktycznie bez błędów

TuX · 2007-01-20 10:43:39

przeczytaj jeszcze raz ten artykuł, u mnie poszło praktycznie bez błędów

Witam :) Nie jestem takim użytkownikiem który widzi błąd i od-razu biegnie na forum po pomoc. Czytałem ten artykuł trzy razy. Dziś spróbuje zrobić z tym mój brat ( on używa debiania od jakiegoś czasu ) ja tylko ubuntu, chodź ubuntu jest w jakimś stopniu debianiem jest o wiele łatwiejszy.

Proszę o pomoc w drugiej sprawie.

Pozdrawiam!

///EDIT - 30 minut później - robie to jeszcze raz - ostatni od nowa :) Chce coś się nauczyć. Jak nie przejdzie to brat zrobi :) Przy:

Jak widać, udało się nam stworzyć zaczątek naszego nowego środowiska. Widzimy
tutaj niezbędne urządzenia i pliki, potrzebne do identyfikacji użytkownika
w systemie, czyli group, passwd oraz shadow. Jednym słowem mamy już podstawkę.
Musimy zainstalować teraz zestaw niezbędnych programów w naszym środowisku.
Zrobi to za nas narzędzie addjailsw:

[root@dark root]# addjailsw /home/chroot/

mam

[URL=http://img264.imageshack.us/my.php?image=jailerror4fv.png][/URL]

ale tam później pisze

U mnie skrypt nie skopiował basha oraz kilku bibliotek,
które są potrzebne do jego działania. Zróbmy więc to ręcznie.

[root@dark root]# cp /bin/bash /home/chroot/bin/
[root@dark root]# cp /lib/libreadline.so.4 /home/chroot/lib/
[root@dark root]# cp /lib/libhistory.so.4 /home/chroot/lib/
[root@dark root]# cp /lib/libdl.so.2 /home/chroot/lib/

Czyli mam zrobić to ręcznie? Czy to są normalne warny?

zielkam · 2007-01-21 20:38:04

warny ci mówią że nadpisały pliki.. Overwriting it! masz na końcu linii.

czadman · 2007-01-21 22:19:26

http://www.debian.org/doc/manuals/securing-debian-h … h-env.en.html

TuX · 2007-01-22 20:02:34

Brat też miał z tym problem :P Darowałem sobie to, szukając odpowiedzi w google na drugie pytanie znalazłem odpowiedź na 1 ;) Wystarczyło użyć chmoda a nie zabawy w chrooty. Zaraz będę rebotował serwer więc zobaczymy czy działa wszystko bo pozmieniałem chmody na folder boot itp :) Najważniejsze jest to że użytkownik piszący

cd ..

a następnie

ls

widzi piękny biały napis:

ls .: Permission denied

:) Jest. Udało się. Teraz potrzebuje odpowiedzi na drugie pytanie. Pomoże ktoś?

Dzięki wszystkim którzy odpowiedzieli.

stepien86 · 2007-02-09 16:33:28

Witam zrobilem wg tej stronki jaila i po wpisaniu
su - gosc
dostaje
jail: execve() : No such file or directory
:/

esio · 2007-08-29 18:40:28

Witam zrobilem wg tej stronki jaila i po wpisaniu
su - gosc
dostaje
jail: execve() : No such file or directory
:/

Ja także... :> Może ktoś wie co z tym zrobić?

stepien86 · 2007-08-29 18:50:26

jakos sobie wtedy poradzilem ale jak to szczerze Ci powiem ze nie pamietam, jakies pliki kopiowalem. Teraz uzywam rbasha i userek ma wybrane komendy. Do reszty zmienione prawa do plikow i katalogow :)

_bolek_ · 2007-08-30 17:55:45

a prubowaliscie wzucic program su do katalogu bin :D

mc666 · 2007-09-12 16:15:52

moim userom starczylo zrobic wg tego:
http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/
http://howtoforge.com/chroot_ssh_sftp_debian_etch

Forum Debian Users Gang

Ogłoszenie

#1 2007-01-18 22:55:43

TuX - Użytkownik

SSH Chrooting i SSH - Tylko wybrane komendy!

#2 2007-01-19 07:20:31

joker - Użytkownik

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#3 2007-01-19 18:22:53

TuX - Użytkownik

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#4 2007-01-19 22:44:39

TeHaX - Użytkownik

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#5 2007-01-20 10:43:39

TuX - Użytkownik

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#6 2007-01-21 20:38:04

zielkam - były zielony_83 :)

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#7 2007-01-21 22:19:26

czadman - Bicycle repairman

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#8 2007-01-22 20:02:34

TuX - Użytkownik

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#9 2007-02-09 16:33:28

stepien86 - Członek DUG

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#10 2007-08-29 18:40:28

esio - Użytkownik

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#11 2007-08-29 18:50:26

stepien86 - Członek DUG

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#12 2007-08-30 17:55:45

_bolek_ - Użytkownik

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

#13 2007-09-12 16:15:52

mc666 - Użytkownik

Re: SSH Chrooting i SSH - Tylko wybrane komendy!

Stopka forum