Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam pisałem już na innym forum z podobnym problemem ( dotyczył proftpd ) Częściowa Pomoc dostałem, z problemem sobie poradziłem. Teraz identyczna sytuacja z demonem ssh. Używam debiana 3.1 mam dostęp tylko z ssh ( root ) - żadnego środowiska graficznego - to jest serwer dedykowany.
Więc chce zrobić 2 rzeczy z ssh. Będę wdzięczny za waszą pomoc.
Rzecz pierwsza, czyli ssh chrooting dużo o tym czytałem ale nic z tego nie rozumiem. Prosił bym o " poprowadzenie za " łape ". SSH Chrooting czyli blokada możliwości dostępu do / oraz home innych użytkowników przez zwykłego usera. Polega to na tym że zwykły użytkownik jest uwięziony w swoim home i nie może z niego wyjść. Dam przykłady.
Aktualnie jest tak: ( defaultowo po dodaniu użytkownika )
użytkownik ssh numer 1 o nicku; tester przy logowaniu automatycznie jest przenoszony do katalogu /home/tester ale może z niego wyjść do /home/ ( do / też - czyli może wejść gdzie chce - tylko nie do /root/ ).
użytkownik ssh numer 2 o nicku; ktostam przy logowaniu automatycznie jest przenoszony do katalogu /home/ktostam/ ale może z niego wyjść do /home/ ( do / też - czyli może wejść gdzie chce - tylko nie do /root/ ).
a chce zrobić by było tak:
użytkownik ssh numer 1 o nicku; tester przy logowaniu automatycznie jest przenoszony do katalogu /home/tester i nie może z niego wyjść do /home/ ani do /
użytkownik ssh numer 2 o nicku; ktostam przy logowaniu automatycznie jest przenoszony do katalogu /home/ktostam/ i nie może z niego wyjść do /home/ ani do /
Następna rzecz; potrzebuje dać użytkownikowi możliwość wykonywania tylko paru komend. Czyli zablokować wszystkie komendy oprócz 2-3. Chodzi oto że np;
użytkownik ssh numer 1 o nicku; tester może uruchomić komendę cd komendę wget oraz komendę cp ale już żadnej innej.
Mam nadzieje że mnie zrozumieliście. Naprawdę starałem się wytłumaczyć to dokładnie.
Czekam na odpowiedź i liczę na pomoc.
Pozdrawiam!
Offline
Tu masz jaila: [url]http://pld.linux.edu.pl/chroot[/url]
Offline
Tu masz jaila: [url]http://pld.linux.edu.pl/chroot[/url][/quote]
Witaj! Dziękuje za odpowiedź. Po krótkim przeglądnięciu strony widze że jest to opisane dosyć dokładnie a nawet po polsku ( domena edu.pl ;) ) Już próbuje z tym zrobić. Jeszcze czekam na odpowiedź na drugie pytanie.
Pozdrawiam!
///EDIT - po 2 minutach - Strona domowa ani download podany na tej stronie nie działa. Cóż znajdę pliki w google.
///EDIT - po 5 minutach - http://sourceforge.net/projects/jail/ :)
///EDIT - po godzinie - No było parę błędów ale dało rade teraz mam problem przy logowaniu do ssh pokazuje mi się
jail: can't canonize path "/bin/bash". Bad path?[/quote]
I okno zamyka się ;) Więc? Jak to naprawić?
///EDIT - 30 minut później - chyba wiem w czym jest problem.
4. Tworzenie konta w nowym środowisku.
W pierwszej kolejności musimy stworzyć takiego użytkownika w systemie.
Zróbmy to w ten sposób:
[root@dark root]# mkdir /home/chroot/home
[root@dark root]# useradd -d /home/chroot -s /usr/bin/jail gosc
[root@dark root]# passwd gosc
New UNIX password:
Retype new UNIX password:
[root@dark root]#
Teraz pora na krótki komentarz. Kazaliśmy systemowi założyć konto użytkownika,
którego katalog domowy znajduje się w /home/chroot. Powłoką usera będzie
/usr/bin/jail. Ścieżka dostępu do powłoki jest uzależniona od zawartości opcji
INSTALL_DIR, którą ustawialiśmy w pliku Makefile podczas instalacji.
Wartość INSTALL_DIR=/usr powoduje ustawienie ścieżki na /usr/bin/jail.[/quote]
Tutaj chyba tylko nie wiem jak ma być ustawione. Tego nie rozumiem.Offline
przeczytaj jeszcze raz ten artykuł, u mnie poszło praktycznie bez błędów
Offline
przeczytaj jeszcze raz ten artykuł, u mnie poszło praktycznie bez błędów[/quote]
Witam :) Nie jestem takim użytkownikiem który widzi błąd i od-razu biegnie na forum po pomoc. Czytałem ten artykuł trzy razy. Dziś spróbuje zrobić z tym mój brat ( on używa debiania od jakiegoś czasu ) ja tylko ubuntu, chodź ubuntu jest w jakimś stopniu debianiem jest o wiele łatwiejszy.
Proszę o pomoc w drugiej sprawie.
Pozdrawiam!
///EDIT - 30 minut później - robie to jeszcze raz - ostatni od nowa :) Chce coś się nauczyć. Jak nie przejdzie to brat zrobi :) Przy:
Jak widać, udało się nam stworzyć zaczątek naszego nowego środowiska. Widzimy
tutaj niezbędne urządzenia i pliki, potrzebne do identyfikacji użytkownika
w systemie, czyli group, passwd oraz shadow. Jednym słowem mamy już podstawkę.
Musimy zainstalować teraz zestaw niezbędnych programów w naszym środowisku.
Zrobi to za nas narzędzie addjailsw:
[root@dark root]# addjailsw /home/chroot/[/quote]
mam
[URL=http://img264.imageshack.us/my.php?image=jailerror4fv.png][img]http://img264.imageshack.us/img264/1666/jailerror4fv.th.png[/img][/URL]
ale tam później pisze
U mnie skrypt nie skopiował basha oraz kilku bibliotek,
które są potrzebne do jego działania. Zróbmy więc to ręcznie.
[root@dark root]# cp /bin/bash /home/chroot/bin/
[root@dark root]# cp /lib/libreadline.so.4 /home/chroot/lib/
[root@dark root]# cp /lib/libhistory.so.4 /home/chroot/lib/
[root@dark root]# cp /lib/libdl.so.2 /home/chroot/lib/[/quote]
Czyli mam zrobić to ręcznie? Czy to są normalne warny?Offline
warny ci mówią że nadpisały pliki.. Overwriting it! masz na końcu linii.
Offline
http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html
Offline
Brat też miał z tym problem :P Darowałem sobie to, szukając odpowiedzi w google na drugie pytanie znalazłem odpowiedź na 1 ;) Wystarczyło użyć chmoda a nie zabawy w chrooty. Zaraz będę rebotował serwer więc zobaczymy czy działa wszystko bo pozmieniałem chmody na folder boot itp :) Najważniejsze jest to że użytkownik piszący
cd ..
a następnie
ls
widzi piękny biały napis:
ls .: Permission denied
:) Jest. Udało się. Teraz potrzebuje odpowiedzi na drugie pytanie. Pomoże ktoś?
Dzięki wszystkim którzy odpowiedzieli.
Offline
Witam zrobilem wg tej stronki jaila i po wpisaniu
su - gosc
dostaje
jail: execve() : No such file or directory
:/
Offline
jakos sobie wtedy poradzilem ale jak to szczerze Ci powiem ze nie pamietam, jakies pliki kopiowalem. Teraz uzywam rbasha i userek ma wybrane komendy. Do reszty zmienione prawa do plikow i katalogow :)
Offline
a prubowaliscie wzucic program su do katalogu bin :D
Offline
moim userom starczylo zrobic wg tego:
http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/
http://howtoforge.com/chroot_ssh_sftp_debian_etch
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00147 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.191.62.68' WHERE u.id=1 |
0.00079 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.191.62.68', 1732364444) |
0.00042 | SELECT * FROM punbb_online WHERE logged<1732364144 |
0.00078 | DELETE FROM punbb_online WHERE ident='18.188.96.17' |
0.00061 | DELETE FROM punbb_online WHERE ident='18.225.254.81' |
0.00100 | DELETE FROM punbb_online WHERE ident='3.142.136.210' |
0.00102 | DELETE FROM punbb_online WHERE ident='3.142.98.111' |
0.00067 | DELETE FROM punbb_online WHERE ident='3.147.71.175' |
0.00067 | SELECT topic_id FROM punbb_posts WHERE id=69916 |
0.00271 | SELECT id FROM punbb_posts WHERE topic_id=6513 ORDER BY posted |
0.00059 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=6513 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00089 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=6513 ORDER BY p.id LIMIT 0,25 |
0.00079 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=6513 |
Total query time: 0.0126 s |