форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"chroot по ssh и ftp"
Сообщение от mar (??) on 05-Апр-04, 00:26  (MSK)
Добрый день :) как-то никогда не приходилось строить "песочницу", а вообще-то по делу надо. Стала разбираться и получилась странная вещь (FreeBSD 4.9): - стрится chroot-окружение, прописывается шелл - переход на chroot, пользователь в sudo  - все работает по ssh (или если сказать su user), НО: при попытке зайти этим пользователем по ftp (родной системный) получаем отлуп и  в /var/log/messages : Apr  4 19:45:04 bastion ftpd[89049]: FTP LOGIN REFUSED FROM server, test При этом я сделала другому тестовому user-у запрет на вход по ssh (/usr/bin/noshell  в /etc/shells  и в качестве шелла) и chroot на уровне ftp (запись в /etc/ftpchroot) А вот как бы все это объединить: и шелл croot-ный и ftp - соответствующий? Спасибо заранее :) И еще вопрос: просто chroot-окружение и полновесный jail - на виртуальных ip - что для каких задач бы посоветовали?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "chroot по ssh и ftp"
Сообщение от qq on 05-Апр-04, 00:48  (MSK)
>Добрый день :) >как-то никогда не приходилось строить "песочницу", а вообще-то по делу надо. Стала >разбираться и получилась странная вещь (FreeBSD 4.9): >- стрится chroot-окружение, прописывается шелл - переход на chroot, пользователь в sudo > - все работает по ssh (или если сказать su user), >НО: при попытке зайти этим пользователем по ftp (родной системный) получаем >отлуп и  в /var/log/messages : Apr  4 19:45:04 bastion >ftpd[89049]: FTP LOGIN REFUSED FROM server, test > >При этом я сделала другому тестовому user-у запрет на вход по ssh >(/usr/bin/noshell  в /etc/shells  и в качестве шелла) и chroot >на уровне ftp (запись в /etc/ftpchroot) > >А вот как бы все это объединить: и шелл croot-ный и ftp >- соответствующий? делай jail, и в нем свой ssh, свой ftp. И вообще, могли бы и по sftp ходить ;) >Спасибо заранее :) >И еще вопрос: просто chroot-окружение и полновесный jail - на виртуальных ip >- что для каких задач бы посоветовали? я лично всегда бы приедпочёл jail, так как он намного безопаснее (я не знаю способов из него вбраться, даже имея uid 0, ну, кроме того бага в 5-й ветке когда из одного jail в другой jail мог прыгать процесс).
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "chroot по ssh и ftp"
	Сообщение от mar (??) on 05-Апр-04, 12:04  (MSK)
	>>А вот как бы все это объединить: и шелл croot-ный и ftp >>- соответствующий? >делай jail, и в нем свой ssh, свой ftp. И вообще, могли >бы и по sftp ходить ;) с этим - следующим заходом: во-первых, хочется и стем, и с тем разобраться, во-вторых, я пока не прониклась благотворностью идеи плодить пусть и виртуальные ip и реальные программы на каждого юзера. >я лично всегда бы приедпочёл jail, так как он намного безопаснее (я >не знаю способов из него вбраться, даже имея uid 0, ну, >кроме того бага в 5-й ветке когда из одного jail в >другой jail мог прыгать процесс). во-первых, в начале 4-ых веток тоже какая-то дыра была по возможности покинуть jail, во-вторых, а как, если ты не из группы wheel и если зашел в chroot не по su, а он у тебя стоит шеллом покинуть chroot?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "chroot по ssh и ftp"
	Сообщение от qq on 06-Апр-04, 01:58  (MSK)
	>>>А вот как бы все это объединить: и шелл croot-ный и ftp >>>- соответствующий? >>делай jail, и в нем свой ssh, свой ftp. И вообще, могли >>бы и по sftp ходить ;) >с этим - следующим заходом: во-первых, хочется и стем, и с тем >разобраться, во-вторых, я пока не прониклась благотворностью идеи плодить пусть и >виртуальные ip и реальные программы на каждого юзера. > >>я лично всегда бы приедпочёл jail, так как он намного безопаснее (я >>не знаю способов из него вбраться, даже имея uid 0, ну, >>кроме того бага в 5-й ветке когда из одного jail в >>другой jail мог прыгать процесс). >во-первых, в начале 4-ых веток тоже какая-то дыра была по возможности покинуть >jail, во-вторых, а как, если ты не из группы wheel и >если зашел в chroot не по su, а он у тебя >стоит шеллом покинуть chroot? ну, если ты каким-то образом получил рута, то сможешь выбраться из jail - не сможешь. http://www.bpfh.net/simes/computing/chroot-break.html
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "chroot по ssh и ftp"
	Сообщение от mar (??) on 06-Апр-04, 13:09  (MSK)
	>>jail, во-вторых, а как, если ты не из группы wheel и >>если зашел в chroot не по su, а он у тебя >>стоит шеллом покинуть chroot? >ну, если ты каким-то образом получил рута, то сможешь выбраться >из jail - не сможешь. > >http://www.bpfh.net/simes/computing/chroot-break.html Finally it should be noted that not all version of Unix are vulnerable to this attack. FreeBSD 4.x and above have a better chroot() system call. It can be made to fail if the process has any file descriptors open on a directory. This works by stopping the attack above which essentially works due to a file handle being open on a directory. Have a look at the FreeBSD 4.x manual page for chroot() for more details. Also have a look at the manual page for jail() which uses chroot() and can limit a process further under FreeBSD. У меня free 4.9 :) Но, вообще, наверное, действительно не стоит искушать судьбу :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "chroot по ssh и ftp"
	Сообщение от qq on 06-Апр-04, 14:32  (MSK)
	>Have a look at the FreeBSD 4.x manual page for chroot() for >more details. Also have a look at the manual page for >jail() which uses chroot() and can limit a process further under >FreeBSD. > >У меня free 4.9 :) Но, вообще, наверное, действительно не стоит искушать >судьбу :) ну, рут например может device-файлы создавать... так что действительно искушать не стоит ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "chroot по ssh и ftp"
	Сообщение от Nickolay (??) on 06-Апр-04, 11:14  (MSK)
	для ftp-chroot'а поставь proftpd и пропиши DefaultRoot ~ все. никуда они не вылезт
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "chroot по ssh и ftp"
	Сообщение от mar (??) on 06-Апр-04, 12:40  (MSK)
	>для ftp-chroot'а поставь proftpd и пропиши >DefaultRoot ~ >все. никуда они не вылезт (/usr/bin/noshell  в /etc/shells  и в качестве шелла) и chroot на уровне ftp (запись в /etc/ftpchroot) тоже никуда не вылезут, вопрос в том, как при chroot сделать и chroot-ный шелл и фтп. И то, и другое по отдельности получается, а вместе - нет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "chroot по ssh и ftp"
	Сообщение от qq on 06-Апр-04, 14:49  (MSK)
	>>для ftp-chroot'а поставь proftpd и пропиши >>DefaultRoot ~ >>все. никуда они не вылезт >(/usr/bin/noshell  в /etc/shells  и в качестве шелла) и chroot >на уровне ftp (запись в /etc/ftpchroot) >тоже никуда не вылезут, вопрос в том, как при chroot сделать и >chroot-ный шелл и фтп. И то, и другое по отдельности получается, >а вместе - нет. может я торможу.. но что мешает тебе прописать тот шелл который делает sudo в /etc/shells ? или он прописан, и не работает?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "chroot по ssh и ftp"
	Сообщение от mar (??) on 06-Апр-04, 15:13  (MSK)
	>>>для ftp-chroot'а поставь proftpd и пропиши >>>DefaultRoot ~ >>>все. никуда они не вылезт >>(/usr/bin/noshell  в /etc/shells  и в качестве шелла) и chroot >>на уровне ftp (запись в /etc/ftpchroot) >>тоже никуда не вылезут, вопрос в том, как при chroot сделать и >>chroot-ный шелл и фтп. И то, и другое по отдельности получается, >>а вместе - нет. > >может я торможу.. но что мешает тебе прописать тот шелл который делает >sudo в /etc/shells ? >или он прописан, и не работает? Прописано, работает. Заходит по ssh, попадает в свою песочницу. А вот по ftp такой юзер зайти не может :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "chroot по ssh и ftp"
	Сообщение от qq on 06-Апр-04, 22:09  (MSK)
	>>>>для ftp-chroot'а поставь proftpd и пропиши >>>>DefaultRoot ~ >>>>все. никуда они не вылезт >>>(/usr/bin/noshell  в /etc/shells  и в качестве шелла) и chroot >>>на уровне ftp (запись в /etc/ftpchroot) >>>тоже никуда не вылезут, вопрос в том, как при chroot сделать и >>>chroot-ный шелл и фтп. И то, и другое по отдельности получается, >>>а вместе - нет. >> >>может я торможу.. но что мешает тебе прописать тот шелл который делает >>sudo в /etc/shells ? >>или он прописан, и не работает? >Прописано, работает. Заходит по ssh, попадает в свою песочницу. А вот по >ftp такой юзер зайти не может :( хех, не поленился, замутил такой сетап... и усё работает... по ssh-в chroot, ftpd туда же chroot... трудностей не возникло, кроме разве что извращений с шеллом который переводит в чрут, а потом еще и привилегии надо сбрасывать.. прямо так вот даже и не придумывается что у тебя не так... кстати, в конфигурации sshd при таком раскладе нельзя забывать о subsystem sftp, так как через sftp то доступ не chroot-еный будет, шелл-то юзерский не запускается..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "chroot по ssh и ftp"
	Сообщение от qq on 07-Апр-04, 11:37  (MSK)
	>кстати, в конфигурации sshd при таком раскладе нельзя забывать о subsystem sftp, >так как через sftp то доступ не chroot-еный будет, шелл-то юзерский >не запускается.. вот тут я наврал, извиняюсь. для sftp запускается юзерский shell (если шелл - /bin/sh, то /bin/sh -c /usr/libexec/sftp-server) так что по поводу sftp можно не бепокоиться :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "chroot по ssh и ftp"
	Сообщение от mar (??) on 07-Апр-04, 12:20  (MSK)
	> >>кстати, в конфигурации sshd при таком раскладе нельзя забывать о subsystem sftp, >>так как через sftp то доступ не chroot-еный будет, шелл-то юзерский >>не запускается.. > >вот тут я наврал, извиняюсь. >для sftp запускается юзерский shell (если шелл - /bin/sh, >то /bin/sh -c /usr/libexec/sftp-server) > >так что по поводу sftp можно не бепокоиться :) > Спасибо!!! честно говоря, я тоже не поняла, что у меня было не так :( - может, pass не правильно вводила, или глюк какой был по диалапу. Сейчас все получилось :)) Причем забавно - человек попадает в chroot-ый шелл, а по ftp - на полную катушку, пока его в /etc/ftpchroot не пропишешь
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "chroot по ssh и ftp"
	Сообщение от qq on 07-Апр-04, 12:50  (MSK)
	>> >>>кстати, в конфигурации sshd при таком раскладе нельзя забывать о subsystem sftp, >>>так как через sftp то доступ не chroot-еный будет, шелл-то юзерский >>>не запускается.. >> >>вот тут я наврал, извиняюсь. >>для sftp запускается юзерский shell (если шелл - /bin/sh, >>то /bin/sh -c /usr/libexec/sftp-server) >> >>так что по поводу sftp можно не бепокоиться :) >> >Спасибо!!! >честно говоря, я тоже не поняла, что у меня было не так >:( - может, pass не правильно вводила, или глюк какой был >по диалапу. Сейчас все получилось :)) >Причем забавно - человек попадает в chroot-ый шелл, а по ftp - >на полную катушку, пока его в /etc/ftpchroot не пропишешь ну, в /etc/ftpchroot можно ведь записывать и группы так: $ cat /etc/ftpchroot @ftpusers и тогда прописывать каждого не надо будет
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "chroot по ssh и ftp"
	Сообщение от mar (??) on 07-Апр-04, 13:34  (MSK)
	>>> >>>>кстати, в конфигурации sshd при таком раскладе нельзя забывать о subsystem sftp, >>>>так как через sftp то доступ не chroot-еный будет, шелл-то юзерский >>>>не запускается.. >>> >>>вот тут я наврал, извиняюсь. >>>для sftp запускается юзерский shell (если шелл - /bin/sh, >>>то /bin/sh -c /usr/libexec/sftp-server) >>> >>>так что по поводу sftp можно не бепокоиться :) >>> >>Спасибо!!! >>честно говоря, я тоже не поняла, что у меня было не так >>:( - может, pass не правильно вводила, или глюк какой был >>по диалапу. Сейчас все получилось :)) >>Причем забавно - человек попадает в chroot-ый шелл, а по ftp - >>на полную катушку, пока его в /etc/ftpchroot не пропишешь >ну, в /etc/ftpchroot можно ведь записывать и группы >так: >$ cat /etc/ftpchroot >@ftpusers > >и тогда прописывать каждого не надо будет спасибо, не подумала - так действительно совсем просто :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "chroot по ssh и ftp"
	Сообщение от Nickolay (??) on 07-Апр-04, 11:25  (MSK)
	>>для ftp-chroot'а поставь proftpd и пропиши >>DefaultRoot ~ >>все. никуда они не вылезт >(/usr/bin/noshell  в /etc/shells  и в качестве шелла) и chroot >на уровне ftp (запись в /etc/ftpchroot) >тоже никуда не вылезут, вопрос в том, как при chroot сделать и >chroot-ный шелл и фтп. И то, и другое по отдельности получается, >а вместе - нет. а может мухи отдельно котлеты отдельно? сделай chroot для ftp(например как я писал через proftpd), а chroot shell'а методами системы
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "chroot по ssh и ftp"
	Сообщение от mar (??) on 05-Апр-04, 13:05  (MSK)
	>делай jail, и в нем свой ssh, свой ftp. И вообще, могли >бы и по sftp ходить ;) >я лично всегда бы приедпочёл jail, так как он намного безопаснее (я >не знаю способов из него вбраться, даже имея uid 0, ну, >кроме того бага в 5-й ветке когда из одного jail в >другой jail мог прыгать процесс). > у меня для ряда юзеров довольно простая задача - был корпоративный сайт на котором выставлены и личные страницы, и страницы отделов, которые иногда делали сами сотрудники. Все это в одном месте. Раньше это все пересылалось админу, он же webmaster, и им (а потом мной соответственно) выставлялось на сервер. Теперь несколько человек дошли до жизни такой, что им хочется периодически обновлять свои страницы. При этом структуру и местоположение старых страниц ни им, ни кому менять не хочется. Отсюда напрашивался вывод: дать им возможность зайти по ftp (из виндов по far-у) на сервер, но только к себе. Поменять страницы в каком-то своем каталоге, а на этот каталог будет будет смотреть симлинк из нужного места. И пускать этих граждан с shell-ом, пусть даже и в песочницу ни малейшего желания у меня нет :) Ну, а и ssh, и ftp - это уже мне просто хочется понять, что происходит и потренироваться :) А jail тоже придется делать - для нескольких граждан, которые хотят сайты на нашей площадке, да и некоторые процессы, наверное лучше в jail загнать? или в chroot ;) ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "chroot по ssh и ftp"
Сообщение от KBAKEP (??) on 06-Апр-04, 18:44  (MSK)
http://bsdhound.com//newsread.php?newsid=32 ...и ещё ссылки внизу.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.