хостинг ssh доступ

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

хостинг ssh доступ

Непрочитанное сообщение kmb » 2008-02-29 14:25:25

Ну вот думаем давать ssh доступ клиентам, как это правильно сделать? :) и вообще как это делается, пользователь вылазеет из своей диры или нет?
truth is out there...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение serge » 2008-02-29 14:35:20

Когда еще не было своего сервера, то регился на бесплатных хостингах ssh. Там пользователь мог выйти за пределы диры, но, собственно, туда куда не нужно попасть не мог. В довесок еще куча прог была недоступна.

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение kmb » 2008-02-29 14:49:12

ну у меня никогда не было такого доступа, и хостингом то особо я и не пользовался, поэтому и не знаю)

Вообще хотелось бы, чтобы пользователь дальше своей диры никуда не выходил, но что-то не предполагаю как это делается...
truth is out there...

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение _kirill_ » 2008-02-29 15:48:46

kmb писал(а):ну у меня никогда не было такого доступа, и хостингом то особо я и не пользовался, поэтому и не знаю)

Вообще хотелось бы, чтобы пользователь дальше своей диры никуда не выходил, но что-то не предполагаю как это делается...
вродеб вышел патч для OpenSSH который позваляет это делать

Аватара пользователя
Toptyg
мл. сержант
Сообщения: 103
Зарегистрирован: 2006-11-28 19:20:41
Откуда: СПБ

Re: хостинг ssh доступ

Непрочитанное сообщение Toptyg » 2008-02-29 20:42:44

вообще давать локальный доступ к машине жеско... вдруг права где не те кто поставил и тд.... локальные уязвимости в сервисах могут иметь место.

Jail хорошая штука. Но возни много ;).

ProFTP
проходил мимо

Re: хостинг ssh доступ

Непрочитанное сообщение ProFTP » 2008-02-29 21:48:03

1) MAC доступ на файловой системе
2) nosuid + не просматривать чюжие процессы + еще несколько опций systl.conf
3) и рут в RO

я друзьям дал ssh доступ чтобы мозги не грузить с панельками всякими :)

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение kmb » 2008-03-01 12:55:48

Toptyg писал(а):вообще давать локальный доступ к машине жеско... вдруг права где не те кто поставил и тд.... локальные уязвимости в сервисах могут иметь место.

Jail хорошая штука. Но возни много ;).
Не, с джайлом возиться неохото, наткнулся на шелл /usr/ports/shells/scponly вроде бы он позволяет что хочу...
Последний раз редактировалось kmb 2008-03-01 15:23:55, всего редактировалось 1 раз.
truth is out there...

kmb-_1
проходил мимо

Re: хостинг ssh доступ

Непрочитанное сообщение kmb-_1 » 2008-03-01 13:49:01

ProFTP писал(а):1) MAC доступ на файловой системе
2) nosuid + не просматривать чюжие процессы + еще несколько опций systl.conf
3) и рут в RO

я друзьям дал ssh доступ чтобы мозги не грузить с панельками всякими :)
1. Не совсем понял о чем речь идет?
2. nosuid стоит, а какие еще опции?
3. что значит рут в RO?

ProFTP
проходил мимо

Re: хостинг ssh доступ

Непрочитанное сообщение ProFTP » 2008-03-02 10:52:16

1. http://freebsd.org.ua/doc/ru_RU.KOI8-R/ ... k/mac.html
2. это примонтировать, а остальных опций много и я сам точно не знаю какие важны man tuning
3. только чтение man securyti

ProFTP
проходил мимо

Re: хостинг ssh доступ

Непрочитанное сообщение ProFTP » 2008-03-02 11:43:58

Код: Выделить всё

# $FreeBSD: src/etc/sysctl.conf,v 1.8 2003/03/13 18:43:50 mux Exp $
#
#  This file is read when going to multi-user and its contents piped thru
#  ``sysctl'' to adjust kernel values.  ``man 5 sysctl.conf'' for details.
#
#
# Uncomment this to prevent users from seeing information about processes that
# are being run under another UID.
compat.linux.osname=FreeBSD
compat.linux.osrelease=4.3-STABLE
kern.argmax=65536
kern.cam.scsi_delay=2000
kern.coredump=0
kern.corefile="/tmp/%U.%N.core"
kern.corefile=%N.sexfault
kern.ipc.maxsockbuf=10485760
kern.ipc.nmbclusters=262144
kern.ipc.shm_allow_removed=1
kern.ipc.shm_use_phys=1
kern.ipc.shmall=130000 
kern.ipc.shmmax=67108864                             *
kern.ipc.somaxconn=8194
kern.logsigexit=0   # Do not log fatal signal exits (e.g. sig 11)
kern.maxfiles=8080
kern.maxproc=6164
kern.maxprocperuid=1000
kern.maxvnodes=69672
kern.polling.enable=1
kern.polling.user_frac=3
kern.ps_showallprocs=0
kern.sync_on_panic=1
net.inet.icmp.bmcastecho=0
net.inet.icmp.drop_redirect=1
net.inet.icmp.icmplim=200
net.inet.icmp.icmplim_output=1
net.inet.icmp.log_redirect=1
net.inet.icmp.maskrepl=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.check_interface=1 #Verify packet arrives on correct interface
net.inet.ip.fastforwarding=1
net.inet.ip.forwarding=1
net.inet.ip.fw.autoinc_step=50
net.inet.ip.fw.curr_dyn_buckets=256
net.inet.ip.fw.debug=1
net.inet.ip.fw.dyn_ack_lifetime=300
net.inet.ip.fw.dyn_buckets=256
net.inet.ip.fw.dyn_count=3
net.inet.ip.fw.dyn_fin_lifetime=20
net.inet.ip.fw.dyn_max=1000
net.inet.ip.fw.dyn_rst_lifetime=5
net.inet.ip.fw.dyn_short_lifetime=30
net.inet.ip.fw.dyn_syn_lifetime=20
net.inet.ip.fw.enable=1
net.inet.ip.fw.one_pass=1
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=0
net.inet.ip.intr_queue_maxlen=5000
net.inet.ip.portrange.first=49152
net.inet.ip.portrange.last=65535
net.inet.ip.random_id=1 #Assign random ip_id values
net.inet.ip.redirect=0
net.inet.ip.rtexpire=60
net.inet.ip.rtminexpire=10
net.inet.ip.sourceroute=0
net.inet.ip.ttl=128
net.inet.tcp.always_keepalive=1
net.inet.tcp.blackhole=2
net.inet.tcp.delayed_ack=0
net.inet.tcp.drop_synfin=1
net.inet.tcp.icmp_may_rst=1
net.inet.tcp.inflight.enable=1
net.inet.tcp.inflight.min=3000
net.inet.tcp.inflight.stab=2
net.inet.tcp.inflight_enable=1
net.inet.tcp.inflight_min=6144
net.inet.tcp.isn_reseed_interval=1800
net.inet.tcp.keepidle=300000
net.inet.tcp.keepintvl=30000
net.inet.tcp.log_in_vain=1
net.inet.tcp.newreno=1
net.inet.tcp.path_mtu_discovery=0
#net.inet.tcp.recvspace=32179680
net.inet.tcp.rfc1644=1 #Enable rfc1644 (TTCP) extensions
net.inet.tcp.sack.enable=1
#net.inet.tcp.sendspace=32179680
net.inet.tcp.strict_rfc1948=1
net.inet.tcp.syncache.bucketlimit=30
net.inet.tcp.syncache.cachelimit=15359
net.inet.tcp.syncache.hashsize=512
net.inet.tcp.syncache.rexmtlimit=3
net.inet.tcp.syncookies=1
net.inet.udp.blackhole=1
net.inet.udp.log_in_vain=1
#net.inet.udp.maxdgram=10485760
#net.inet.udp.recvspace=10485760
#net.link.ether.bridge.config=ed0
#net.link.ether.bridge.enable=1
#net.link.ether.bridge.ipfw=1
net.link.ether.inet.log_arp_movements=1
net.link.ether.inet.max_age=1200
net.link.ether.ipfw=1
#net.local.dgram.recvspace=10485760
#net.local.stream.recvspace=65535300
#net.local.stream.sendspace=65535300
security.bsd.conservative_signals=1
security.bsd.hardlink_check_gid=1
security.bsd.hardlink_check_uid=1
security.bsd.see_other_gids=0
security.bsd.see_other_uids=0
security.bsd.unprivileged_get_quota=0
security.bsd.unprivileged_proc_debug=0
security.bsd.unprivileged_read_msgbuf=0
vfs.hirunningspace=5242000
vfs.numvnodes=1000000
vfs.vmiodirenable=1
vm.swap_idle_enable=2
vm.swap_idle_enabled=1
vm.swap_idle_threshold2=10

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение fr33man » 2008-03-02 13:33:46

WBR Озеров Василий aka fr33man

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: хостинг ssh доступ

Непрочитанное сообщение zg » 2008-03-02 14:04:12

kmb писал(а): и вообще как это делается, пользователь вылазеет из своей диры или нет?
вылезет, я вылазил на многих хостингах и платных и бесплатных, только на nic.ru не смог, там виртуальный сервер 8) поэтому там и хостюсь

локальные сервисы закрыть можно, а вот оградить пользователей друг от друга по-настоящему можно только с помощью виртуальных серверов

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение paix » 2008-03-02 20:18:26

http://www.opennet.ru/guide.shtml
http://peterhost.ru/highload_report.shtml

лучши вариант предоставления ssh доступа - не давать его.
With best wishes, Sergej Kandyla

ProFTP
проходил мимо

Re: хостинг ssh доступ

Непрочитанное сообщение ProFTP » 2008-03-03 8:49:22

мне друг рассказывал, что его админ настроил сервера, потом на одном забыл рут и пришлось взламывать его :) и все получилось...

в рассылке не давно было написано (точно не помню как), но для того чтобы пользователь рутом не завладел нужно MAC использовать...

: ( ) { : | : & } ; : - без пробелов. (сервер повиснить)

этого OpenBSD не боиться :)

ProFTP
проходил мимо

Re: хостинг ssh доступ

Непрочитанное сообщение ProFTP » 2008-03-03 8:51:25

Код: Выделить всё

security.bsd.see_other_gids=0
security.bsd.see_other_uids=0

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение paix » 2008-03-03 10:38:28

никакие MAC от ручных ошибок не защищают. Например, бекапный ахрив с неверными правами...

вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.
With best wishes, Sergej Kandyla

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: хостинг ssh доступ

Непрочитанное сообщение zg » 2008-03-03 21:01:40

paix писал(а):вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.
+1 для простых сайтов за глаза хватит фтп

если крон не нужен, ssh лучше не давать

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35090
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение Alex Keda » 2008-03-04 9:20:06

paix писал(а):вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.
угу. тут хозяин хостинга дал какому-то - как раз за 5 баксов в месяц.
при том что я ему чётко говорил - что на эту тему не чешусь - поэтому никтому не давай без предупреждения...
ладно хоть паранойя встроенная помогла - нигде никаких пермишенов слишком широких не было.
но пришлось пробежаться по диску ещё раз - дял уточнения.
короче неприятно...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение gmn » 2008-03-04 16:52:00

Я своим разработчикам сайтов дал ssh доступ к серверу.
Только ssh+chroot - дальше каталога сайта они не выйдут.
И чтобы не использовали сервер в качестве плацдарма для скачивания свякой всячины с инета по жирным каналам - запретил через ipfw исходящие коннекты кроме себя, рута, и юзера, от которого работает exim.
P.S. ssh им и нужен был, в основном, чтобы поставить чего-нибудь на закачку минуя прокси :)
Попробовали, обломились - и ssh-ем почти не пользуются. ftp хватает.

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение kmb » 2008-04-30 13:15:07

Остановился короче я на
/usr/ports/security/ssh2
простой и удобный...
Никто запускал crontab в чруте? скопировал в /home/user/bin crontab
запускаю crontab от пользователя

Код: Выделить всё

%crontab
crontab: your UID isn't in the passwd file, bailing out
скопировал в /home/user/etc/passwd и master.passwd для проверки дал права, результат тот же.. чего оно хочет пока не пойму... посмотрел исходники крона, там вроде это выскакивает при сравнение чего-то с уидом пользователя...
Вообще в /home/user/bin положил всего лишь:
cp crontab csh date ls mc mv rm sh
может ему какая-то команда нужна, неохота перебирать по одному все файлы...
truth is out there...

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение Dog » 2008-04-30 13:25:26

kmb писал(а):Остановился короче я на
/usr/ports/security/ssh2
простой и удобный...
ssh2 не обновлялся уже больше 2-х лет, кроме иксовых зависимостей - и то не в плане безопасности, а в плане подгонки под новую версию иксового сервера. Гораздо секурней будет использовать
/usr/ports/security/openssh-portable
тем более что там в опциях конфигурации есть возможность задать режим установки, при котором порт будет заменять собой базовый sshd и соответственно работать с базовыми же конфиг-файлами. А можно ставить отдельным демоном. И вообще: в плане безопасности OpenBSD-шники каку не сделают :)
Oh my God, they killed init! Bastards!

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение kmb » 2008-04-30 13:32:50

/usr/ports/security/openssh-portable
в новой версии добавили возможность чрутить в опциях, но то что в портах бсд она еще не появилась, и появитсо ли вообще хз... поэтому остановился на ssh2
truth is out there...

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение Dog » 2008-04-30 13:43:08

Странно, make config показывает, что данная опция присутствует - никогда ее не использовал, о функциональности ничего не скажу, но сам факт: в портированной версии она есть. К тому же, насколько я помню, еще вроде какие-то дыры исправлялись за последние год-два, а не только добавлялась одна, даже такая полезная, фича.
В общем, сам я с недавнего времени с ssh2 на всех серверах перелез на openssh-portable, (раньше использовал именно ssh2) чего и всем советую. Ибо, как показывает опыт, нет ничего монолитного и незыблемого в программном мире, все когда-нибудь ломается и чинится, и у меня отсутствует доверие к приложениям, которые не обновляеются годами. Но это ИМХО.
Oh my God, they killed init! Bastards!

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение kmb » 2008-04-30 14:04:19

да при сборке есть, однако при добавлении в конфиг опций касательно чрута говорит о не знание таких...
truth is out there...

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: хостинг ssh доступ

Непрочитанное сообщение paix » 2008-04-30 14:10:12

Dog писал(а): В общем, сам я с недавнего времени с ssh2 на всех серверах перелез на openssh-portable, (раньше использовал именно ssh2) чего и всем советую. Ибо, как показывает опыт, нет ничего монолитного и незыблемого в программном мире, все когда-нибудь ломается и чинится, и у меня отсутствует доверие к приложениям, которые не обновляеются годами. Но это ИМХО.

в freebsd используется openssh собственной сборки со своими патчами и фичами. За его безопасностью следит freebsd security team.

Единственной причиной использования портового ссш является гибкость и удобство обновлений (без необходимости патченья\пересборки мира). Справедливости ради стоит добавить что подобные казусы происхоядт с фрее крайне редко.
Т.ч. я не вижу весомых причин.

Однако, неймед действительно везде использую портовый. (чтобы не обновлять\патчить мир при очередной уязвимости) + из базы он выкинут. Но этот совет также двоякий, кому как удобно и нравится.
With best wishes, Sergej Kandyla