The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Запретить доступ к директориям для ssh-пользователей"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Запретить доступ к директориям для ssh-пользователей"  
Сообщение от shizzzgara (ok) on 25-Мрт-06, 19:53 
  Честное слово, я не блондинка, но не могу въехать - как решить стоящую передо мной задачу.
Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные сервера с доступом к их директориям по ssh. Я с энтузиазмом взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории сделала в домашних директориях... Зашла под пользователем и вижу, что хорек может читать массу файлов к которым его подпускать не хочу.
Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг, есть способ типа того файла, который не пускал бы ssh-юзера за пределы его home?

Спасибо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Запретить доступ к директориям для ssh-пользователей"  
Сообщение от gr (??) on 25-Мрт-06, 23:08 
>  Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.

Способов есть несколько, погугли на тему:

http://www.google.com/search?q=ssh+chroot

Или вот есть такой проектик

http://chrootssh.sourceforge.net/index.php

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Запретить доступ к директориям для ssh-пользователей"  
Сообщение от msc (??) on 26-Мрт-06, 17:53 
>Способов есть несколько, погугли на тему:
>
>http://www.google.com/search?q=ssh+chroot
>
>Или вот есть такой проектик
>
>http://chrootssh.sourceforge.net/index.php

Cпасибо. Ключевое слово "chroot" в бестолковую голову не пришло.
Я на FreeBSD совсем недавно и наложение патчей несколько пугает. Нашла в портах чудную, надеюсь, штуку - scponly. Вроде то, что мне нужно:
"cponly is an alternative 'shell' (of sorts) for system administrators who would like to provide access to remote users to both read and write local files without providing any remote execution priviledges. Functionally, it is best described as a wrapper to the tried and true ssh suite of applications."
и далее в фичах
"logging: scponly logs time, client IP, username, and the actual request to syslog
chroot: scponly can chroot to the user's home directory, disallowing access to the rest of the filesystem.
sftp compatibility and sftp-logging compatibility..."


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Запретить доступ к директориям для ssh-пользователей"  
Сообщение от shizzzgara (ok) on 26-Мрт-06, 17:55 
Сорри. Не глянула и зашла под чужим логином. Предыдущее сообщение от меня :)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Запретить доступ к директориям для ssh-пользователей"  
Сообщение от Keeper email(??) on 27-Мрт-06, 12:44 
Как вариант, /usr/ports/security/chrootuid :

The chrootuid command combines chroot(8) and su(1) into one program,
so that there is no need to have commands such as /usr/bin/su in the
restricted environment.  Access to the file system is restricted to
the newroot subtree and privileges are restricted to those of the
newuser account (which must be a known account in the unrestricted
environment).

Когда у меня возникла похожая задача, я написал пару скриптов для построения полно- (или полу-) функционального chroot-окружения и запирания юзверя в нем:
ftp://62.76.123.58/unix/security/chrooted-shell-1.3.tar.gz
Сорри, док нету, и скрипт под себя надо править руками. -_-

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Запретить доступ к директориям для ssh-пользователей"  
Сообщение от shizzzgara (ok) on 04-Апр-06, 18:52 
>Как вариант, /usr/ports/security/chrootuid :
>
>The chrootuid command combines chroot(8) and su(1) into one program,
>so that there is no need to have commands such as /usr/bin/su
>in the
>restricted environment.  Access to the file system is restricted to
>the newroot subtree and privileges are restricted to those of the
>newuser account (which must be a known account in the unrestricted
>environment).
>
>Когда у меня возникла похожая задача, я написал пару скриптов для построения
>полно- (или полу-) функционального chroot-окружения и запирания юзверя в нем:
>ftp://62.76.123.58/unix/security/chrooted-shell-1.3.tar.gz
>Сорри, док нету, и скрипт под себя надо править руками. -_-

Cпасибо. Проблема отодвинулась на пару недель, поэтому сразу не ответила. Еще раз спасибо :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Запретить доступ к директориям для ssh-пользователей"  
Сообщение от Adil_18 email on 28-Мрт-06, 10:31 
>  Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.

или засовывай все это дело в jail

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Запретить доступ к директориям для ssh-пользователей"  
Сообщение от limp0p0 on 12-Апр-06, 14:35 
>  Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.

http://rssh.sourceforge.net/
Description: Restricted shell for SSHd

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Запретить доступ к директориям для ssh-пользователей"  
Сообщение от shizzzgara (ok) on 13-Апр-06, 21:53 
>http://rssh.sourceforge.net/
>Description: Restricted shell for SSHd

Cпасибо. Попробую :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру