OpenSSH+chroot

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2008-10-09 16:08:55

ОС OpenBSD 4.3
OpenSSH 5.1

Не проходит авторизацию пользователи группы www которых я хочу закрыт в хом дире
можете проверить.
89.179.124.44 227
login test
psw test12

содержание sshd_config

Код: Выделить всё

Port 227
Protocol 2
Subsystem       sftp    internal-sftp
Match Group www
	X11Forwarding no
	AllowTcpForwarding no
	ForceCommand internal-sftp
	ChrootDirectory /var/www/users/%u

Код: Выделить всё

# ls /var/www/users/test/*

/var/www/users/test/bin:
cat   chmod cp    echo  ksh   ls    mkdir mv    pwd   rm    rmdir tar

/var/www/users/test/dev:
null zero

/var/www/users/test/usr:
lib   local
#chroot -u test /var/www/users/test/
работает

Код: Выделить всё

# userinfo test
login   test
passwd  $2a$06$IDvAUiTlqRicB7jYPdA9auyGpjYrUSRqqh4y9R6ERRKdWjIzDfEIa
uid     1001
groups  test www
change  NEVER
class
gecos   test
dir     /var/www/users/test/./
shell   /bin/ksh
expire  NEVER
пробовал и с dir /var/www/users/test/
==================================================================

Что я делаю не так, или чего я не сделал?
Хочу уверенно администрировать OpenBSD

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2008-10-13 11:02:02

Ни кто что ли, ни настраивал у себя на опене настраивать "запирание пользователя" в хом дире при SSH сессии?
Хочу уверенно администрировать OpenBSD

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение ~>cerber<~ » 2008-10-15 22:52:20

изучи внимательно

Код: Выделить всё

grep test /var/log/authlog
hint! чаще всего у людей: bad ownership or modes for chroot directory
;aka coolchevy
live free or die;

Гость
проходил мимо

Re: OpenSSH+chroot

Непрочитанное сообщение Гость » 2008-10-18 9:46:42

да так и есть.
Какие должны быть права?

Сейчас стоит на хом дир 755 test:www
я пробовал и 777 и с test:test, не проканало.

Гость
проходил мимо

Re: OpenSSH+chroot

Непрочитанное сообщение Гость » 2008-10-18 10:01:54

у .ssh сейчас стоит
drwx------ 2 test test 512 Sep 29 04:25 .ssh
пробовал и с 777.

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение ~>cerber<~ » 2008-10-18 19:26:19

Код: Выделить всё

chown root /var/www/users/test/
;aka coolchevy
live free or die;

l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2008-10-18 20:17:40

~>cerber<~ писал(а):

Код: Выделить всё

chown root /var/www/users/test/
не помогло
Хочу уверенно администрировать OpenBSD

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение ~>cerber<~ » 2008-10-20 22:32:26

что в логах?
;aka coolchevy
live free or die;

l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2008-10-21 11:13:02

то же самое, ругается на права.

bad ownership or modes for chroot directory
Хочу уверенно администрировать OpenBSD

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение ~>cerber<~ » 2008-10-21 12:29:31

;aka coolchevy
live free or die;

l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2008-10-23 0:11:09

Код: Выделить всё

# ls -al
total 48
drwxrwxrwx   8 root  www     512 Oct 22 19:08 .
drwxr-xr-x  11 root  daemon  512 Oct 11 18:33 ..
-rw-r--r--   1 test  test    774 Sep 29 04:25 .cshrc
-rw-r--r--   1 test  test    317 Sep 29 04:25 .login
-rw-r--r--   1 test  test    105 Sep 29 04:25 .mailrc
-rw-r--r--   1 test  test    218 Sep 29 04:25 .profile
drwx------   2 test  test    512 Sep 29 04:25 .ssh
drwxr-xr-x   2 root  www     512 Oct  7 03:17 bin
drwxr-xr-x   2 root  www     512 Oct  7 03:51 dev
drwxr-xr-x   2 root  www     512 Oct  7 03:50 logs
drwxr-xr-x   4 root  www     512 Oct  7 03:50 usr
drwxr-xr-x   2 root  www     512 Oct  7 03:50 www
Не работает.

Код: Выделить всё

# ls -al
total 48
drwxrwxrwx   8 test  www     512 Oct 22 19:08 .
drwxr-xr-x  11 root  daemon  512 Oct 11 18:33 ..
-rw-r--r--   1 test  test    774 Sep 29 04:25 .cshrc
-rw-r--r--   1 test  test    317 Sep 29 04:25 .login
-rw-r--r--   1 test  test    105 Sep 29 04:25 .mailrc
-rw-r--r--   1 test  test    218 Sep 29 04:25 .profile
drwx------   2 test  test    512 Sep 29 04:25 .ssh
drwxr-xr-x   2 root  www     512 Oct  7 03:17 bin
drwxr-xr-x   2 root  www     512 Oct  7 03:51 dev
drwxr-xr-x   2 root  www     512 Oct  7 03:50 logs
drwxr-xr-x   4 root  www     512 Oct  7 03:50 usr
drwxr-xr-x   2 root  www     512 Oct  7 03:50 www
Не работает.

в логах всё то же.

host sshd[19042]: fatal: bad ownership or modes for chroot directory "/var/www/users/test"
Хочу уверенно администрировать OpenBSD

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение zingel » 2008-10-23 12:03:16

tcpwrapper отключи
Z301171463546 - можно пожертвовать мне денег

l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2008-10-30 11:17:46

Выключен.

PS пользователи не входящие в группу www спокойно входят и всё нормально, но для них не описано запирании в хом дире.
Хочу уверенно администрировать OpenBSD

Аватара пользователя
serge
майор
Сообщения: 2133
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение serge » 2008-12-26 2:08:03

Решилась проблема?
===
Щас с тем же самым мудохаюсь :cz2:

l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2008-12-31 15:08:47

нет, у меня эта проблемка ещё весит.
Хочу уверенно администрировать OpenBSD

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение ~>cerber<~ » 2008-12-31 20:17:53

мини-статья))

Начиная с 4.3-stable ( в 4.2 snapshot-ах уже было и ранее) разработчики включили chroot в openssh

Код: Выделить всё

root@gate ~ # uname -srv
OpenBSD 4.4 GENERIC#1021
root@gate ~ # mkdir -p /home/test/bin
root@gate ~ # cp /bin/ksh /home/test/bin/
root@gate ~ # useradd -d / -g users -s /bin/ksh  testuser
root@gate ~ # passwd testuser
добавляем в /etc/ssh/sshd_config

Код: Выделить всё

Match user testuser
    ChrootDirectory /home/test

Код: Выделить всё

root@gate ~ # sshd -t
root@gate ~ # kill -1 `cat /var/run/sshd.pid`
проверяем:

Код: Выделить всё

root@gate ~ # ssh testuser@localhost
testuser@localhost's password:
ksh: No controlling tty (open /dev/tty: No such file or directory)
ksh: warning: won't have full job control
$ 
далее по желанию, выдержка из мана
The ChrootDirectory must contain the necessary files and directo-
ries to support the users' session. For an interactive session
this requires at least a shell, typically sh(1), and basic /dev
nodes such as null(4), zero(4), stdin(4), stdout(4), stderr(4),
arandom(4) and tty(4) devices. For file transfer sessions using
``sftp'', no additional configuration of the environment is nec-
essary if the in-process sftp server is used (see Subsystem for
details).
Последний раз редактировалось ~>cerber<~ 2009-01-06 2:29:48, всего редактировалось 1 раз.
;aka coolchevy
live free or die;

l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2009-01-04 0:17:33

Большое спасибо и не обязательно хом рут указывать корнем и в этот же хом рут можно закинуть /bin/ ( не весь, а только необходимое cp, ls .... )

Но получилось только с одним пользователем, то есть при добавление нового пользователя приходиться пере запускать sshd так как редактируется sshd_config. А хотелось бы чтоб при добавление нового пользователя не пере запускать sshd (перезапуск означает срыв текущих сеансов)

Пробовал такого рода(аналагично первому посту, не помню где уже это встречал)

Код: Выделить всё

Match Group www
   ChrootDirectory /var/www/users/%u
но после ввода логина и пароля происходит обрыв.
PuTTY выдаёт фаттал еррор Server unexpectedly closed network connection

В логах следующее.

Код: Выделить всё

# grep test-ho /var/log/authlog
Jan  3 12:34:48 webserv1 sshd[26550]: Accepted password for test-ho from 172.168.0.200 port 37670 ssh2
Хочу уверенно администрировать OpenBSD

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение ~>cerber<~ » 2009-01-04 0:49:23

l2qwe писал(а):Большое спасибо и не обязательно хом рут указывать корнем и в этот же хом рут можно закинуть /bin/ ( не весь, а только необходимое cp, ls .... )
желательно, чтоб не было путаницы, иначе как /home/user в chroot будет как /home/user/home/user, дело вкуса
l2qwe писал(а):Но получилось только с одним пользователем, то есть при добавление нового пользователя приходиться пере запускать sshd так как редактируется sshd_config. А хотелось бы чтоб при добавление нового пользователя не пере запускать sshd (перезапуск означает срыв текущих сеансов)
имхо:иначе никак, sshd однопоточный, sshd довольно секьюрный чтоб разрешать менять его конфиг "на лету"
l2qwe писал(а):Пробовал такого рода(аналагично первому посту, не помню где уже это встречал)
Код: Выделить всё
Match Group www
ChrootDirectory /var/www/users/%u

но после ввода логина и пароля происходит обрыв.
PuTTY выдаёт фаттал еррор Server unexpectedly closed network connection

В логах следующее.

Код: Выделить всё
# grep test-ho /var/log/authlog
Jan 3 12:34:48 webserv1 sshd[26550]: Accepted password for test-ho from 172.168.0.200 port 37670 ssh2
логи не те смотрите, это быстрее будет в
/var/log/messages или /var/log/daemon
%u - имя пользователя, %h- домашняя папка
;aka coolchevy
live free or die;

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение Alex Keda » 2009-01-04 2:32:03

а почему у меня при перезапуске сессии не рвуться?

Код: Выделить всё

hosting# date && /etc/rc.d/sshd restart && date
воскресенье,  4 января 2009 г. 02:31:42 (MSK)
Stopping sshd.
Starting sshd.
воскресенье,  4 января 2009 г. 02:31:42 (MSK)
hosting#
hosting#
hosting# date
воскресенье,  4 января 2009 г. 02:31:45 (MSK)
hosting#    
Убей их всех! Бог потом рассортирует...

l2qwe
рядовой
Сообщения: 14
Зарегистрирован: 2008-10-09 15:58:09
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение l2qwe » 2009-01-04 12:00:56

lissyara писал(а):/etc/rc.d/sshd restart
Это в OpenBSD?

А то у меня получается так:

Код: Выделить всё

# /etc/rc.d/sshd restart
ksh: /etc/rc.d/sshd: not found
и

Код: Выделить всё

# /usr/sbin/sshd restart
Extra argument restart.
и в мане без флагов нет аргументов

Код: Выделить всё

SYNOPSIS
     sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-f config_file]
          [-g login_grace_time] [-h host_key_file] [-k key_gen_time]
          [-o option] [-p port] [-u len]
я перезапускаю через kill

Код: Выделить всё

#kill $(pgrep sshd)
#/usr/sbin/sshd
Последний раз редактировалось l2qwe 2009-01-04 12:59:41, всего редактировалось 1 раз.
Хочу уверенно администрировать OpenBSD

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение Alex Keda » 2009-01-04 12:33:30

ну, в ваших недоделаных системах - ничем не могу помочь =)))
как вариант - посомтерть стартовый скрипт во фре и написать свой, похожий =)
=========
всё время забываю что тут уже не тока фря обсуждается....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение ~>cerber<~ » 2009-01-04 13:55:11

lissyara писал(а):ну, в ваших недоделаных системах - ничем не могу помочь =)))
все что нужно, доделано, сначала разберись
;aka coolchevy
live free or die;

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение Alex Keda » 2009-01-04 18:12:54

вот. а тут, видать ненужный функционал - перезапуск sshd.
его пусть все сами доделывают =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение ~>cerber<~ » 2009-01-04 20:11:58

не вижу сложностей с

Код: Выделить всё

pkill -1 sshd
архитектуру системы придумали не дураки, быстро привык ко многим, казалось бы, диким вещам
согласен, что много минимализма, но со временем тебе даже это нравится, можешь поверить на слово
;aka coolchevy
live free or die;

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: OpenSSH+chroot

Непрочитанное сообщение Alex Keda » 2009-01-04 21:07:35

я юзал FreeBSD 4.11 - по тому что вижу - вполне на неё смахивает, не считая что во фре всё было просто умней.
Убей их всех! Бог потом рассортирует...