The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В OpenSSH интегрирована поддержка "chroot"

20.02.2008 17:38

В дерево исходных текстов OpenSSH принят код позволяющий помещать отдельных пользователей в изолированное окружение. Вкупе с появившимися недавно средствами по ограничению выполняемых команд, новая возможность позволяет достаточно гибко организовывать лимитирование пользователей.

Кроме того, принят патч с реализацией sftp-server внутри sshd, не требующий запуска отдельного процесса.

Помещение в chroot управляется через директиву ChrootDirectory, задаваемую в конфигурационном файле sshd_config. Так как sftp-server теперь встроен в sshd, формирование chroot окружения не требуется, достаточно указать в конфигурации:


   Match user djm
       ForceCommand internal-sftp
       ChrootDirectory /chroot
  ...
  #Subsystem      sftp    /usr/libexec/sftp-server
  Subsystem       sftp    internal-sftp
и пользователь djm сможет пользоваться только sftp в пределах директории /chroot.

В качестве недостатка можно отметить отсутствие интегрированной в sshd поддержки scp, по-прежнему требующей копирования библиотек в chroot окружение.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Ограничиваем ssh пользователей посредством chroot
  3. OpenNews: Помещение SSH пользователей в chroot в Debian Etch
  4. Помещение SSH пользователей в изолированное окружение.
  5. OpenNews: Помещение пользователей в chroot средствами OpenSSH
  6. OpenNews: Помещаем SSH пользователей в chroot.
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/14331-ssh
Ключевые слова: ssh, chroot, limit, sftp, ftp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 17:55, 20/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ура господа.
     
  • 1.2, Аноним (2), 18:01, 20/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Позитивная новость.
     
  • 1.3, zedis (?), 18:17, 20/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно пора
     
  • 1.4, Dimez (??), 18:23, 20/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично!!! Безумно рад, теперь ещё одну программу патчить не надо.
     
  • 1.5, allexeym (ok), 20:38, 20/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    супер!
     
  • 1.8, Michael Shigorin (ok), 21:11, 20/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В качестве недостатка, можно отметить отстутствие интегрированной в sshd поддержки scp,
    >по-прежнему требующей копирования библиотек в chroot окружение.

    Заинтересованные могут посмотреть пакет chrooted, штатно водящийся в ALT/Owl:
    http://sisyphus.ru/srpm/chrooted

     
  • 1.9, ymkin (ok), 21:38, 20/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    расскажите о применении
     
  • 1.11, polkan (?), 04:10, 21/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >The full commit message:
    >
    >    CVSROOT:        /cvs
    >    Module name:    src
    >    Changes by:     djm@     2008/02/08 16:24:08

    дайте людям ВРЕМЯ ПРОВЕРИТЬ И ВКОМПИЛЯТЬ %)))
    а то сразу им "версия какая?" :)

     
  • 1.12, Лимуриец (?), 09:10, 21/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ещё бы теперь как-то организовать, чтобы подсистема QoS промежуточных роутеров узнавала, что по встроенному SFTP файло начали качать. Этот поток тоже через 22 порт идёт и траффик шифрованый, т.е. как-то детектировать отличие работы в терминале от передачи файла. А если сделан высокий приоритет для SSH, то файлокачание забьёт весь канал и параллельные SSH сессии будут жутко тормозить :((
     
     
  • 2.13, хвост (?), 10:26, 21/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    почитать побольше о qos
    ssh если склероз не изменяет ставит разные биты приоритета для интерактивной сессии и file-transfer
     
     
  • 3.16, Лимуриец (?), 11:27, 21/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если так, то гуд.
     
  • 2.15, replicant (?), 11:24, 21/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Изврат на почве паранойи
     
  • 2.17, _Nick_ (??), 12:04, 21/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А если сделан высокий приоритет для SSH

    а SSH не нужен высокий проиритет на всех скоростях.
    Достаточно высокого приоритета на низких, а на высоких - приоритет и
    понизить можно ;)

     
     
  • 3.18, _Nick_ (??), 12:06, 21/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >ssh если склероз не изменяет ставит разные биты приоритета для интерактивной сессии и file-transfer

    и тогда умник ставящий _нужный_ бит на file-transfer получит...
    если не фигу, то прост онизкий проиритет ;)

     

  • 1.14, fa (ok), 11:13, 21/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличная новость!!!
     
  • 1.19, gara (??), 17:42, 21/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    УРА !!!
     
  • 1.20, Dyr (ok), 17:35, 22/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличная и давно ожидаемая новость!
     
  • 1.21, nuclight (?), 08:06, 27/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше б в SFTP кодировки починили. А то по стандарту там должен быть UTF-8 (либо индикация локали), а по факту там имена файлов передаются как есть, забивая на кодировку, в результате грабли с русским на разных операционках.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру