Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-07-24 21:18:42

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Sesja SSL/TSL dla wybranego usera + proftpd

Mam takie pytanie, czy da sie jakos skonfigurowac serwer proftpd aby sesja tls/ssl byla uruchamiania wylacznie dla wybranego uzytkownika?
Powiedzmy ze chce aby uzytkownik z pelnymi prawami uruchamial sie poprzez sesje tls/ssl a goscie mieli dostep swobodny bez tsl/ssl.
W tej chwili mam skonfigurowanego proftpd z sesja tls/ssl dla kazdego uzytkownika.


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#2  2012-07-24 21:30:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Nie, ta opcja jest tylko dostępna dla całego serwera, albo wcale.
Mozeesz ewentualnie puścić drugi serwer z opcję tylko tls na innym portach 989 - 990, i innym typem autoryzacji, dla uprzywilejowanych pacjentów.
Względnie, TSL tylko dla autoryzacji, transfer nie, w rezultacie goście nie przechodząc autoryzacji, nie włażą na kanał szyfrowany.

RTFM:

Kod:

 egrep 'ftps' /etc/services

Choć i tak lepsze są ssh i sftp


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2012-07-24 21:43:44

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Co masz  na myśli mówiąc że lepsze są ssh i sftp?


Edit://
Udało mi się wyczytać w dokumentacji i wykonałem niezaszyfrowaną sesję dla anonymous, a zaszyfrowaną sesję dla "zweryfikowanych" użytkowników.
Nie wiem czy to tak może wyglądać ale stworzyłem Vhosta w <IfModule mod_tls.c> dodając do tego opcję: TLSoptions AllowPerUser, a w sekcji z konfiguracją użytkownika dodałem: TLSRequired off.
Sam nie wiem czy to tak powinno wyglądać ale działa :)

Ostatnio edytowany przez sqrtek (2012-07-24 22:32:08)


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#4  2012-07-24 22:26:41

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Co masz  na myśli mówiąc że lepsze są ssh i sftp?[/quote]
Zapewne bezpieczeństwo.

Offline

 

#5  2012-07-24 22:36:29

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Można zamknąć temat :)

Ostatnio edytowany przez sqrtek (2012-07-24 23:55:41)


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#6  2012-07-25 00:07:13

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Gratuluję, zapomniałem, że w Proftpd da się ustawić kilka VIrtualhostów na jednym adresie i porcie, i każdemu zrobić inną konfigurację.

Co do ssh i sftp, dlaczego lepsze?
Spróbuj w ftp ustawić uwierzytelnienie kluczem dsa/rsa/ecdsa to pogadamy o tym, dlaczego.
I spróbuj zamknąć ftp w jednym porcie, żeby nie potrzebował portu ftp-data, i w trybie pasywnym XXX innych portów.
W ssh i realizowanym w ramach ssh protokole sftp masz tylko jeden port komunikacyjny.

I to wystarcza do: transferu plików, tunelu tcp, zdalnej powłoki, dodatkowo potrafi przeskakiwać proxy http.
Który serwer ftp takie drobiazgi potrafi?

Ostatnio edytowany przez Jacekalex (2012-07-25 00:08:36)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2012-07-26 00:12:54

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

@jacekalex Dzięki za odpowiedź :)

Tak w ogóle to jak poprawnie skonfigurować te sFTP w proftpd?

Kierowałem się tym poradnikiem: http://www.ehow.com/how_12096427_configure-proftpd-sftp.html
Ale czy do sFTP trzeba najpierw skonfigurować SSL/TSL? Czy to jest "uzależnione" od Siebie do poprawnego funkcjonowania?

Ostatnio edytowany przez sqrtek (2012-07-26 00:14:06)


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#8  2012-07-26 00:36:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Proftpd i sftp, to ciężkie nieporozumienie, choć podobno działa.
Proftpd  miał częste wpadki bezpieczeństwa, wlącznie z trojanem trojanem zaszytym w jednej z wersji.
Jeśli koniecznie chcesz stawiać sftp, to ja stawialbym to na sewerze ssh, wtedy masz bezproblemową autoryzację kluczmi kryptograficznymi, i znacznie większe bezpieczeństwo, w dodatku wszystkie dziuy w ssh są w Debianie łatane blyskawicznie, poważne luki nawet w ciagu jednego/dwóch dni.

osobiście nigdy sftp w proftpd nie kondigurowalem, lepiej wziąlbym pure-ftpd w trybie TSL only.
Konfguracja pure jest banalnie prosta, a  jest to najbezpieczniejszy serwer z trójki Proftpd, PureFtpd i Vsftpd.

A tu conieco o sftp w ssh:
http://www.howtoforge.com/restricting-users-to-sftp-plus-setting-up-chrooted-ssh-sftp-debian-squeeze

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-07-26 00:40:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2012-07-26 17:57:27

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Dzięki :) a teraz postawiłem sobie serwer ssh(openssh), i mam problem następujący.. robiłem wszystko wg. tego poradnika: http://sieciwpigulce.prv.pl/?p=63
i po skonfigurowaniu folderu chroota itd. chcąc się zalogować na serwer, dostaje komunikat: Connection Closed. Nie wiem czemu ale to przez tego chroota tak mi się wydaje jest spowodowane. Bo jeśli zaloguję się innym użytkownikiem który ma powłokę normalną Bash, to wszystko działa jak należy.

Wszystko ustawione tak jak jest wg. tego poradnika i nie działa, próbowałem reinstall i od nowa wszystko ale to samo.. Warto dodać że rssh mi działał dopóki tego chroota nie zrobiłem tym skryptem..

w /etc/passwd  oraz w /home/chroot/etc/passwd zmienione na:

nazwa:x:1006:1006::/home/chroot/home/nazwa:/usr/bin/rssh

Ostatnio edytowany przez sqrtek (2012-07-26 18:04:12)


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#10  2012-07-26 18:47:52

  RadekD - Użytkownik

RadekD
Użytkownik
Zarejestrowany: 2012-07-19

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Jeśli to serwer dla Ciebie, to IMO nie ma sensu bawić się w chroot. Zablokuj logowanie jako root, wyłącz możliwość logowania hasłem (zostaw tylko wymianę kluczy), ewentualnie zmień port i będziesz miał bezpieczne i wygodne środowisko pracy.
Poza tym, jeśli user może hulać i rozrabiać po całym systemie, to masz większy problem niż konfiguracja ssh ;)

Edit:
jak już ogarnisz sam serwer, to polecam przeczytać jeszcze to:
http://jakilinux.org/uncategorized/sztuczki-z-ssh/
http://jakilinux.org/aplikacje/sztuczki-z-ssh-2-tunele/
np pozwala to korzystać z całego Internetu z sieci korporacyjnej. To najprzydatniejsza dla mnie funkcja ssh ;)

Ostatnio edytowany przez RadekD (2012-07-26 18:52:52)


Linux Registered User #425330
http://rdominiak.jogger.pl

Offline

 

#11  2012-07-26 18:51:14

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Tenporadknik jest niewiele wart moim zdaniem.

Ja ostatnio w ssh załatwiam to następującym wpisem w sshd_config:

Kod:

Match group sftpgroup
    ChrootDirectory %h
    GatewayPorts no
    X11Forwarding no
    ForceCommand internal-sftp
    AllowTcpForwarding no
    PermitTunnel no

I działa.
Co prawda mialem kłopot z ssh, który nie chcial wpuszczać userów, ale wystarczyło zahashować jedną funkcję w żródłach - plik sessions.c (w przyszłosci zamierzam ją poprawić, ale na razie mam ważniejsze sprawy na głowie), przekompilować ssh, i chodzi.
Ale to chyba raczej błąd w Gentowym ssh.

Rezultat dla biedaczka dodanego do sftpgroup wyglada tak:

Kod:

ssh pies@localhost
This service allows sftp connections only.
Connection to localhost closed.

Kod:

sftp pies@localhost
Connected to localhost.
sftp> cd /etc/
Couldn't canonicalise: No such file or directory
sftp> ls /usr/bin/sudo
Couldn't stat remote file: No such file or directory
Can't ls: "/usr/bin/sudo" not found
sftp>

:DDD

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-07-26 19:06:56)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2012-07-26 20:10:27

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

@RadekD
Dzięki za linki, dodałem sobie je do zakładek, i w najbliższym czasie przeczytam.

@Jacekalex
Hmm usunąłem tego rssh całkowicie, i skonfigurowałem  sshd_config tak jak dałeś, wyskakiwał mi błąd przy  dodanym   "  PermitTunnel no " więc też usunąłem.
Natchomiast jak reszte zostawiłem to wyskakuje błąd:

Kod:

Write failed: Broken pipe
Couldn't read packet: Connection reset by peer

oczywiśćie ten błąd jest przy logowaniu. Zmieniłem uprawnienia do folderu głównego użytkownika, aby był właścicielem, ale to nie pomaga.

Ostatnio edytowany przez sqrtek (2012-07-26 20:12:42)


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#13  2012-07-26 20:17:10

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Sesja SSL/TSL dla wybranego usera + proftpd

A co w logach na ten temat? jakieś komunikaty?

Poza tym żeby wejsć przez ssh do chroota - w tym chroocie musi być aktywna powłoka.

Można ją zrobić jakimś skryptem albo najwygodniej jailkitem, bylo o tym na forum.
Sznurek: http://forum.dug.net.pl/viewtopic.php?pid=169782


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2012-07-26 20:25:45

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

Jul 26 20:23:15 x sshd[2719]: fatal: bad ownership or modes for chroot directory "/home/guest"
Jul 26 20:23:15 x sshd[2713]: pam_unix(sshd:session): session closed for user guest

"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#15  2012-07-26 20:32:43

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Sesja SSL/TSL dla wybranego usera + proftpd

To samo, co u mnie.
Czyli to jednak chyba nie jest bląd, albo nie tylko Gentowy błąd.

   

Kod:

    /*if (st.st_uid != 0 || (st.st_mode & 022) != 0)
            fatal("bad ownership or modes for chroot "
                "directory %s\"%s\"", 
                cp == NULL ? "" : "component ", component); */

Wyhashowałem tą funkcję, źródla ssh, plik session.c linie (u mnie ) 1452 - 1455.
Teoretycznie można by wywalić [b]st.st_uid != 0 ||[/b] - ale ja wolałbym, zeby sprawdzał, czy pacjent jest właścicielem folderu, do którego wlaźi, albo wypad.

Także troche to potrwa.
;)

Bez żadej kompilacji i tej zmiany można się chrootować do foderu, którego wlaścicielem jest root, czyli np do /home, i tylko root może w nim zapisać cokolwiek.
Ale można folder usera zrobić  w w /home/foder/user, chrootować do /home/folder i będzie wilk syty i owca cała.

Ostatnio edytowany przez Jacekalex (2012-07-26 20:44:38)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#16  2012-07-26 20:40:10

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Sorki za moją niewiedzę ale gdzie jest ten plik session.c?


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#17  2012-07-26 21:06:31

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Całkowicie spieprzyłem sprawę.. wkurzyłem się i chciałem od nowa zainstalować openssh-server, więc dałem apt-get remove openssh-server.. ale do tego usunąłem cały folder ssh w etc.. i teraz to próbowałem dpkg-reconfigure debconf, ale sam już nie wiem co zrobić po czymś takim.. :/

logi z terminala:

Kod:

Konfigurowanie openssh-server (1:5.5p1-6+squeeze2) ...
/var/lib/dpkg/info/openssh-server.postinst: 453: cannot create /etc/ssh/sshd_config: Directory nonexistent
dpkg: błąd przetwarzania openssh-server (--configure):
 podproces zainstalowany skrypt post-installation zwrócił kod błędu 2
configured to not write apport reports
                                      Wystąpiły błędy podczas przetwarzania:
 openssh-server
E: Sub-process /usr/bin/dpkg returned an error code (1)
root@s3ba-host:/home/d3s# dpkg-reconfigure debconf
root@s3ba-host:/home/d3s# apt-get install openssh-server
Czytanie list pakietów... Gotowe
Budowanie drzewa zależności       
Odczyt informacji o stanie... Gotowe
openssh-server jest już w najnowszej wersji.
0 aktualizowanych, 0 nowo instalowanych, 0 usuwanych i 0 nieaktualizowanych.
1 nie w pełni zainstalowanych lub usuniętych.
Po tej operacji zostanie dodatkowo użyte 0 B miejsca na dysku.
Kontynuować [T/n]? T
Konfigurowanie openssh-server (1:5.5p1-6+squeeze2) ...
/var/lib/dpkg/info/openssh-server.postinst: 453: cannot create /etc/ssh/sshd_config: Directory nonexistent
dpkg: błąd przetwarzania openssh-server (--configure):
 podproces zainstalowany skrypt post-installation zwrócił kod błędu 2
configured to not write apport reports
                                      Wystąpiły błędy podczas przetwarzania:
 openssh-server
E: Sub-process /usr/bin/dpkg returned an error code (1)

Nie sądziłem że tak namieszam se z tym ssh.. Pierwszy raz mi się takie coś zdarzyło..

Ostatnio edytowany przez sqrtek (2012-07-26 21:12:06)


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#18  2012-07-26 21:16:56

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

mkdir /etc/ssh

[b]EDIT:[/b] W sumie możesz usunąć pakiety ssh, a potem zainstalować jeszcze raz… Sam katalog /etc/ssh akurat tworzony jest przez openssh-client. Tak na przyszłość używaj opcji [tt]--purge[/tt], służy do usuwania konfigów z /etc właśnie. Zanim usuniesz coś z /etc z palca, sprawdź do jakiego pakietu należy.


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#19  2012-07-26 21:59:11

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

I pomyśleć że przez taką komendę komunikat praktycznie na całą stronę wyskoczył.. że też sam nie mógł mi tego mkdir /etc/ssh wykonać :D ale faktycznie komenda pomogła. Teraz zabieram się dalej do roboty.


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#20  2012-07-26 22:26:37

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Sesja SSL/TSL dla wybranego usera + proftpd

sessions.h - źródła openssh przed kompilacją, w Debianie na oczy ich nie zobaczysz, poza tym chyba nie ma takiej potrzeby.

Przykład bez majstrowania w źródłach:

Kod:

groupadd -g 1005 bydle
mkdir -p /home/bydle
useradd bydle -u 1005 -g 1005 -m -d /home/bydle/bydle -s /bin/false

Kod:

ls -ld /home /home/bydle /home/bydle/bydle
drwxr-xr-x 44 root  root  4096 07-26 22:19 /home
drwxr-x---  3 root  root  4096 07-26 22:19 /home/bydle
drwxr-xr-x  3 bydle bydle 4096 07-26 22:19 /home/bydle/bydle

I chrootnąć przez konfig ssh (sftp) możesz do folderu /home/bydle, wszystko powinno ruszyć bez kombinacji w źródlach ssh.
A jak chcesz udostęp[nić powlokę, to jailkitem dodaj w /home/bydle basha i te polecenia, które chcesz mieć w chroocie.

W konfigu ssh

Kod:

    ChrootDirectory  /home/%u

Powinno ruszyć.

Ostatnio edytowany przez Jacekalex (2012-07-26 22:34:48)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#21  2012-07-26 22:28:46

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Oczywiście, że nie mógł. Ten pakiet ma w zależnościach inny pakiet, który tworzy katalog. W momencie instalowania pakietu katalog ma już istnieć, zapewniają to zależności. Usuwając katalog usunąłeś fragment innego pakietu… Powinieneś go teraz przeinstalować, kilku plików pewnie brakuje.


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#22  2012-07-26 22:44:40

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

@ArnVaker Dla pewnośći przeinstalowałem :)
@jacekalex dokładnie wszystko zrobiłem tam jak pisałeś, zrobiłem te konto bydle itd. A znowu Connection Closed :(

Nie wiem pokazać ten sshd_config lub jakieś logi bo ja już sam nie wiem?

Ostatnio edytowany przez sqrtek (2012-07-26 22:45:23)


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#23  2012-07-27 11:25:21

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Hmm Dzisiaj rano właczyłem serwer i kompa lokalnego i normalnie udało mi się połączyć na konto bydle !.
Tylko że.. teraz wyskakuje taki komunikat:

Kod:

remote readdir("/"): Permission denied
sftp>

Coś z prawami dostępu nie tak czy co?

Edit://
Naprawione ! Działa.. po prostu pierwszy folder bydle, miał uprawnienia 750, a ustawiając na 755 wszystko ruszyło. !

Ostatnio edytowany przez sqrtek (2012-07-27 11:30:51)


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

#24  2012-07-27 12:02:54

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Czyli chroot na sftp gotowy, tak?  ;)

To teraz moezssz powalczyć z shellem w chroocie, o ile jest potrzebny, sam się chętnie dowiem, jak to najlepiej zrobić, bo u mnie coś nie chce zaskoczyć  na razie, a dawno nie bawiłem się ssh w takim kontekście.

Tu masz staszą wersję z pam_chroot - wiki Debiana:
http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html
Tu przepis na Squeeze (nowszy):
http://www.howtoforge.com/restricting-users-to-sftp-plus-setting-up-chrooted-ssh-sftp-debian-squeeze
Tylko ostrożnie, to są rózne drogi dojsścia do podobnego celu, takze łatwo się wnich zakręcić jak słoik z konfiturami :D

Ostatnio edytowany przez Jacekalex (2012-07-27 12:04:04)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#25  2012-07-27 14:08:20

  sqrtek - Użytkownik

sqrtek
Użytkownik
Skąd: /bin/true
Zarejestrowany: 2012-06-14

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Można powiedzieć że gotowy :). Ale to z tym już zacznę zabawę od Poniedziałku bo teraz niestety cały weekend mnie nie będzie.
Zobaczymy co teraz mi z tym shellem w Chroocie powychodzi..


"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ [i]Steve Jobs[/i]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.016 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00015 SET CHARSET latin2
0.00008 SET NAMES latin2
0.00186 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.220.97.161' WHERE u.id=1
0.00089 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.220.97.161', 1732313130)
0.00059 SELECT * FROM punbb_online WHERE logged<1732312830
0.00113 DELETE FROM punbb_online WHERE ident='54.36.148.125'
0.00038 SELECT topic_id FROM punbb_posts WHERE id=207220
0.00037 SELECT id FROM punbb_posts WHERE topic_id=21672 ORDER BY posted
0.00047 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21672 AND t.moved_to IS NULL
0.00038 SELECT search_for, replace_with FROM punbb_censoring
0.00189 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21672 ORDER BY p.id LIMIT 0,25
0.00103 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21672
Total query time: 0.00922 s