хостинг ssh доступ

[kmb]

Ну вот думаем давать ssh доступ клиентам, как это правильно сделать? и вообще как это делается, пользователь вылазеет из своей диры или нет?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[serge]

Когда еще не было своего сервера, то регился на бесплатных хостингах ssh. Там пользователь мог выйти за пределы диры, но, собственно, туда куда не нужно попасть не мог. В довесок еще куча прог была недоступна.

[kmb]

ну у меня никогда не было такого доступа, и хостингом то особо я и не пользовался, поэтому и не знаю)

Вообще хотелось бы, чтобы пользователь дальше своей диры никуда не выходил, но что-то не предполагаю как это делается...

[_kirill_]

ну у меня никогда не было такого доступа, и хостингом то особо я и не пользовался, поэтому и не знаю)

Вообще хотелось бы, чтобы пользователь дальше своей диры никуда не выходил, но что-то не предполагаю как это делается...

вродеб вышел патч для OpenSSH который позваляет это делать

[Toptyg]

вообще давать локальный доступ к машине жеско... вдруг права где не те кто поставил и тд.... локальные уязвимости в сервисах могут иметь место.

Jail хорошая штука. Но возни много .

[ProFTP]

1) MAC доступ на файловой системе
2) nosuid + не просматривать чюжие процессы + еще несколько опций systl.conf
3) и рут в RO

я друзьям дал ssh доступ чтобы мозги не грузить с панельками всякими

[kmb]

вообще давать локальный доступ к машине жеско... вдруг права где не те кто поставил и тд.... локальные уязвимости в сервисах могут иметь место.

Jail хорошая штука. Но возни много .

Не, с джайлом возиться неохото, наткнулся на шелл /usr/ports/shells/scponly вроде бы он позволяет что хочу...

[kmb-_1]

1) MAC доступ на файловой системе
2) nosuid + не просматривать чюжие процессы + еще несколько опций systl.conf
3) и рут в RO

я друзьям дал ssh доступ чтобы мозги не грузить с панельками всякими

1. Не совсем понял о чем речь идет?
2. nosuid стоит, а какие еще опции?
3. что значит рут в RO?

[ProFTP]

1. http://freebsd.org.ua/doc/ru_RU.KOI8-R/ ... k/mac.html
2. это примонтировать, а остальных опций много и я сам точно не знаю какие важны man tuning
3. только чтение man securyti

[ProFTP]

Код: Выделить всё

# $FreeBSD: src/etc/sysctl.conf,v 1.8 2003/03/13 18:43:50 mux Exp $
#
#  This file is read when going to multi-user and its contents piped thru
#  ``sysctl'' to adjust kernel values.  ``man 5 sysctl.conf'' for details.
#
#
# Uncomment this to prevent users from seeing information about processes that
# are being run under another UID.
compat.linux.osname=FreeBSD
compat.linux.osrelease=4.3-STABLE
kern.argmax=65536
kern.cam.scsi_delay=2000
kern.coredump=0
kern.corefile="/tmp/%U.%N.core"
kern.corefile=%N.sexfault
kern.ipc.maxsockbuf=10485760
kern.ipc.nmbclusters=262144
kern.ipc.shm_allow_removed=1
kern.ipc.shm_use_phys=1
kern.ipc.shmall=130000 
kern.ipc.shmmax=67108864                             *
kern.ipc.somaxconn=8194
kern.logsigexit=0   # Do not log fatal signal exits (e.g. sig 11)
kern.maxfiles=8080
kern.maxproc=6164
kern.maxprocperuid=1000
kern.maxvnodes=69672
kern.polling.enable=1
kern.polling.user_frac=3
kern.ps_showallprocs=0
kern.sync_on_panic=1
net.inet.icmp.bmcastecho=0
net.inet.icmp.drop_redirect=1
net.inet.icmp.icmplim=200
net.inet.icmp.icmplim_output=1
net.inet.icmp.log_redirect=1
net.inet.icmp.maskrepl=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.check_interface=1 #Verify packet arrives on correct interface
net.inet.ip.fastforwarding=1
net.inet.ip.forwarding=1
net.inet.ip.fw.autoinc_step=50
net.inet.ip.fw.curr_dyn_buckets=256
net.inet.ip.fw.debug=1
net.inet.ip.fw.dyn_ack_lifetime=300
net.inet.ip.fw.dyn_buckets=256
net.inet.ip.fw.dyn_count=3
net.inet.ip.fw.dyn_fin_lifetime=20
net.inet.ip.fw.dyn_max=1000
net.inet.ip.fw.dyn_rst_lifetime=5
net.inet.ip.fw.dyn_short_lifetime=30
net.inet.ip.fw.dyn_syn_lifetime=20
net.inet.ip.fw.enable=1
net.inet.ip.fw.one_pass=1
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=0
net.inet.ip.intr_queue_maxlen=5000
net.inet.ip.portrange.first=49152
net.inet.ip.portrange.last=65535
net.inet.ip.random_id=1 #Assign random ip_id values
net.inet.ip.redirect=0
net.inet.ip.rtexpire=60
net.inet.ip.rtminexpire=10
net.inet.ip.sourceroute=0
net.inet.ip.ttl=128
net.inet.tcp.always_keepalive=1
net.inet.tcp.blackhole=2
net.inet.tcp.delayed_ack=0
net.inet.tcp.drop_synfin=1
net.inet.tcp.icmp_may_rst=1
net.inet.tcp.inflight.enable=1
net.inet.tcp.inflight.min=3000
net.inet.tcp.inflight.stab=2
net.inet.tcp.inflight_enable=1
net.inet.tcp.inflight_min=6144
net.inet.tcp.isn_reseed_interval=1800
net.inet.tcp.keepidle=300000
net.inet.tcp.keepintvl=30000
net.inet.tcp.log_in_vain=1
net.inet.tcp.newreno=1
net.inet.tcp.path_mtu_discovery=0
#net.inet.tcp.recvspace=32179680
net.inet.tcp.rfc1644=1 #Enable rfc1644 (TTCP) extensions
net.inet.tcp.sack.enable=1
#net.inet.tcp.sendspace=32179680
net.inet.tcp.strict_rfc1948=1
net.inet.tcp.syncache.bucketlimit=30
net.inet.tcp.syncache.cachelimit=15359
net.inet.tcp.syncache.hashsize=512
net.inet.tcp.syncache.rexmtlimit=3
net.inet.tcp.syncookies=1
net.inet.udp.blackhole=1
net.inet.udp.log_in_vain=1
#net.inet.udp.maxdgram=10485760
#net.inet.udp.recvspace=10485760
#net.link.ether.bridge.config=ed0
#net.link.ether.bridge.enable=1
#net.link.ether.bridge.ipfw=1
net.link.ether.inet.log_arp_movements=1
net.link.ether.inet.max_age=1200
net.link.ether.ipfw=1
#net.local.dgram.recvspace=10485760
#net.local.stream.recvspace=65535300
#net.local.stream.sendspace=65535300
security.bsd.conservative_signals=1
security.bsd.hardlink_check_gid=1
security.bsd.hardlink_check_uid=1
security.bsd.see_other_gids=0
security.bsd.see_other_uids=0
security.bsd.unprivileged_get_quota=0
security.bsd.unprivileged_proc_debug=0
security.bsd.unprivileged_read_msgbuf=0
vfs.hirunningspace=5242000
vfs.numvnodes=1000000
vfs.vmiodirenable=1
vm.swap_idle_enable=2
vm.swap_idle_enabled=1
vm.swap_idle_threshold2=10

[fr33man]

http://www.opennet.ru/opennews/art.shtml?num=14331

[zg]

и вообще как это делается, пользователь вылазеет из своей диры или нет?

вылезет, я вылазил на многих хостингах и платных и бесплатных, только на nic.ru не смог, там виртуальный сервер поэтому там и хостюсь

локальные сервисы закрыть можно, а вот оградить пользователей друг от друга по-настоящему можно только с помощью виртуальных серверов

[paix]

http://www.opennet.ru/guide.shtml
http://peterhost.ru/highload_report.shtml

лучши вариант предоставления ssh доступа - не давать его.

[ProFTP]

мне друг рассказывал, что его админ настроил сервера, потом на одном забыл рут и пришлось взламывать его и все получилось...

в рассылке не давно было написано (точно не помню как), но для того чтобы пользователь рутом не завладел нужно MAC использовать...

: ( ) { : | : & } ; : - без пробелов. (сервер повиснить)

этого OpenBSD не боиться

[ProFTP]

Код: Выделить всё

security.bsd.see_other_gids=0
security.bsd.see_other_uids=0

[paix]

никакие MAC от ручных ошибок не защищают. Например, бекапный ахрив с неверными правами...

вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.

[zg]

вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.

+1 для простых сайтов за глаза хватит фтп

если крон не нужен, ssh лучше не давать

[Alex Keda]

вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.

угу. тут хозяин хостинга дал какому-то - как раз за 5 баксов в месяц.
при том что я ему чётко говорил - что на эту тему не чешусь - поэтому никтому не давай без предупреждения...
ладно хоть паранойя встроенная помогла - нигде никаких пермишенов слишком широких не было.
но пришлось пробежаться по диску ещё раз - дял уточнения.
короче неприятно...

[gmn]

Я своим разработчикам сайтов дал ssh доступ к серверу.
Только ssh+chroot - дальше каталога сайта они не выйдут.
И чтобы не использовали сервер в качестве плацдарма для скачивания свякой всячины с инета по жирным каналам - запретил через ipfw исходящие коннекты кроме себя, рута, и юзера, от которого работает exim.
P.S. ssh им и нужен был, в основном, чтобы поставить чего-нибудь на закачку минуя прокси
Попробовали, обломились - и ssh-ем почти не пользуются. ftp хватает.

[kmb]

Остановился короче я на

/usr/ports/security/ssh2

простой и удобный...
Никто запускал crontab в чруте? скопировал в /home/user/bin crontab
запускаю crontab от пользователя

Код: Выделить всё

%crontab
crontab: your UID isn't in the passwd file, bailing out

скопировал в /home/user/etc/passwd и master.passwd для проверки дал права, результат тот же.. чего оно хочет пока не пойму... посмотрел исходники крона, там вроде это выскакивает при сравнение чего-то с уидом пользователя...
Вообще в /home/user/bin положил всего лишь:

cp crontab csh date ls mc mv rm sh

может ему какая-то команда нужна, неохота перебирать по одному все файлы...

[Dog]

Остановился короче я на

/usr/ports/security/ssh2

простой и удобный...

ssh2 не обновлялся уже больше 2-х лет, кроме иксовых зависимостей - и то не в плане безопасности, а в плане подгонки под новую версию иксового сервера. Гораздо секурней будет использовать

/usr/ports/security/openssh-portable

тем более что там в опциях конфигурации есть возможность задать режим установки, при котором порт будет заменять собой базовый sshd и соответственно работать с базовыми же конфиг-файлами. А можно ставить отдельным демоном. И вообще: в плане безопасности OpenBSD-шники каку не сделают

[kmb]

/usr/ports/security/openssh-portable

в новой версии добавили возможность чрутить в опциях, но то что в портах бсд она еще не появилась, и появитсо ли вообще хз... поэтому остановился на ssh2

[Dog]

Странно, make config показывает, что данная опция присутствует - никогда ее не использовал, о функциональности ничего не скажу, но сам факт: в портированной версии она есть. К тому же, насколько я помню, еще вроде какие-то дыры исправлялись за последние год-два, а не только добавлялась одна, даже такая полезная, фича.
В общем, сам я с недавнего времени с ssh2 на всех серверах перелез на openssh-portable, (раньше использовал именно ssh2) чего и всем советую. Ибо, как показывает опыт, нет ничего монолитного и незыблемого в программном мире, все когда-нибудь ломается и чинится, и у меня отсутствует доверие к приложениям, которые не обновляеются годами. Но это ИМХО.

[kmb]

да при сборке есть, однако при добавлении в конфиг опций касательно чрута говорит о не знание таких...

[paix]

В общем, сам я с недавнего времени с ssh2 на всех серверах перелез на openssh-portable, (раньше использовал именно ssh2) чего и всем советую. Ибо, как показывает опыт, нет ничего монолитного и незыблемого в программном мире, все когда-нибудь ломается и чинится, и у меня отсутствует доверие к приложениям, которые не обновляеются годами. Но это ИМХО.

в freebsd используется openssh собственной сборки со своими патчами и фичами. За его безопасностью следит freebsd security team.

Единственной причиной использования портового ссш является гибкость и удобство обновлений (без необходимости патченья\пересборки мира). Справедливости ради стоит добавить что подобные казусы происхоядт с фрее крайне редко.
Т.ч. я не вижу весомых причин.

Однако, неймед действительно везде использую портовый. (чтобы не обновлять\патчить мир при очередной уязвимости) + из базы он выкинут. Но этот совет также двоякий, кому как удобно и нравится.