chroot во FreeBSD
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- schmel
- рядовой
- Сообщения: 46
- Зарегистрирован: 2010-02-28 22:28:09
chroot во FreeBSD
Есть хостинг Apache-mpm+nginx+Mysql+php на FreeBSD 9.1. Мне необходим chroot для виртуальных хостов, что бы пускать пользователей через ssh и полностью отказаться от ftp. Возможно ли как нибудь настроить пользователя, чтобы он не поднимался выше своей домашней директории? Сейчас если пользователю виртуального хоста апача vu2001 (к примеру) дать доступ по ssh, то он сможет просматривать список каталогов, выше своей директории, хотя и не сможет прочитать другие файлы, просто видит папки.
Последний раз редактировалось f_andrey 2013-04-23 19:40:33, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- ст. прапорщик
- Сообщения: 568
- Зарегистрирован: 2009-09-04 12:23:30
- Откуда: Где-то в России...
- Контактная информация:
Re: chroot во FreeBSD
Тогда придется для каждого пользователя делать свое окружение (иерархия папок + системные тулзы в них). Оно вам надо?
www.info-x.org - информационный ресурс о ОС FreeBSD.
- schmel
- рядовой
- Сообщения: 46
- Зарегистрирован: 2010-02-28 22:28:09
Re: chroot во FreeBSD
Надо. Нашел статейку про chroot через ssh. http://www.lissyara.su/articles/freebsd ... tp+chroot/
Вот только как это сделать для моего случая? Если апач создает каждый раз пользователей и группу с одним названием. Например vu2003:vu2003
Вот только как это сделать для моего случая? Если апач создает каждый раз пользователей и группу с одним названием. Например vu2003:vu2003
-
- ст. прапорщик
- Сообщения: 568
- Зарегистрирован: 2009-09-04 12:23:30
- Откуда: Где-то в России...
- Контактная информация:
Re: chroot во FreeBSD
Апач создает или вы? Настройте так, чтоб по шаблоны создавало или еще как?
www.info-x.org - информационный ресурс о ОС FreeBSD.
- schmel
- рядовой
- Сообщения: 46
- Зарегистрирован: 2010-02-28 22:28:09
Re: chroot во FreeBSD
Апач создает по шаблону используемой панели ispcp omega.
Для начала хотелось бы сделать алгоритм действий хотя бы при ручном добавлении пользователей, вида vu200x:vu200x, потом буду искать как внедрить это в шаблоны.
Как можно задать для папок вида /usr/local/www/data/virtual/example.org (если example.org принадлежит vu2002:vu2002)?
Код: Выделить всё
APACHE_SUEXEC_USER_PREF = vu
APACHE_SUEXEC_MIN_GID = 2000
APACHE_SUEXEC_MAX_GID = 29999
APACHE_SUEXEC_MIN_UID = 2000
APACHE_SUEXEC_MAX_UID = 29999
APACHE_USER = www
APACHE_GROUP = www
Как можно задать
Код: Выделить всё
ChrootDirectory
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: chroot во FreeBSD
однако, я непонимаю - зачем chroot?
права на хомяки раздать и всё.
и пусть шарятся где хотят...
вот вам ссылочка: http://www.host-food.ru/
возьмите пробник, попросите ssh в тикетнице - его нет на пробнике по дефолту
пошарьтесь, посмотрите...
права на хомяки раздать и всё.
и пусть шарятся где хотят...
вот вам ссылочка: http://www.host-food.ru/
возьмите пробник, попросите ssh в тикетнице - его нет на пробнике по дефолту
пошарьтесь, посмотрите...
Убей их всех! Бог потом рассортирует...
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
- schmel
- рядовой
- Сообщения: 46
- Зарегистрирован: 2010-02-28 22:28:09
Re: chroot во FreeBSD
Уже и так использую suexec + FastCGI (fcgid панелью под фряху не рекомендуется).manefesto писал(а):suexec + fcgid в лапки
С правами все впорядке, просто не хочу, чтобы юзер выходил за пределы своей виртуальной директории. Зачем ему видеть какие еще сайты хостятся рядом. Ну и полностью хочу перевести всех на sftp, дать возможность использовать tar, unzip и прочее.однако, я непонимаю - зачем chroot?
права на хомяки раздать и всё.
и пусть шарятся где хотят...
-
- ст. прапорщик
- Сообщения: 568
- Зарегистрирован: 2009-09-04 12:23:30
- Откуда: Где-то в России...
- Контактная информация:
Re: chroot во FreeBSD
Все это правами решается.С правами все впорядке, просто не хочу, чтобы юзер выходил за пределы своей виртуальной директории. Зачем ему видеть какие еще сайты хостятся рядом.
Панелька какая-нибудь (тот же ISPmanager) для работы с архивами и т.п.Ну и полностью хочу перевести всех на sftp, дать возможность использовать tar, unzip и прочее.
www.info-x.org - информационный ресурс о ОС FreeBSD.
- schmel
- рядовой
- Сообщения: 46
- Зарегистрирован: 2010-02-28 22:28:09
Re: chroot во FreeBSD
Как? только не говорите, что chmod'омChihPih писал(а): Все это правами решается.
Как правами сделать так, чтобы пользователь при логине через ssh вообще не видел папки выше своей директории?
Ок, начну исследования, может кто нибудь подскажет.
И так...
В OpenSSH есть поддержка chroot.
То есть мне нужно сделать так, что бы пользователь подключившийся по ssh видел только свое домашнее окружение и не мог выйти в каталоги других пользователей.
Панель создает директории в /usr/local/www/data/virtual/name_site.ru
Тоесть для начала мне нужно назначить домашнюю директорию пользователю владельцу папки name_site.ru. Ок, назначу, в handbook видел где-то как это делается.
Исследую настройки в /etc/ssh/sshd_config.
AllowGroups wheel (и тут перечисляем названия групп vu2001 vu2002 vu2003 и тд.) Трудоемко, не правдали, возможно ли это автоматизировать или сделать алиас для всех этих vu?
мой /etc/group
Код: Выделить всё
...........
vu2018:*:2018:
vu2019:*:2019:
vu2020:*:2020:
vu2022:*:2022:
vu2023:*:2023:
..........
Match group vu2001 vu2002 vu2003 (в правильности этого пункта сомневаюсь)
ChrootDirectory %h (тут как я понял при логине будет использоваться домашняя директория в качестве корня, поправьте если не прав)
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
Далее по статье:
У меня панель и так создает каталог /usr/local/www/data/virtual/example.ruСоздадим будущему пользователю домашний каталог, куда он и будет кидать свои файлы
# mkdir /usr/local/www/example
А внутри этого каталога еще один
# mkdir /usr/local/www/example/www
Вместо /usr/local/www/example/www у меня /usr/local/www/data/virtual/example.ru/htdocs
Думаю это можно сделать шаблоном самой панели, поковырявшись в коде. Ок, допустим сделал.Теперь надо правильно добавить пользователя через adduser. Надо включить его в группу sftponly, дать реальную оболочку(например sh),указать правильный домашний каталог(мы его уже создали), ну естественно, пароль.
А вот это не совсем понял, зачем ставить владельцем root? И давать права только на одну папку в домашней директории? Можно ли дать права на все папки? У меня там хранятся еще бекапы и логи, иногда это полезно пользователям.# chown -R root /usr/local/www/example
# chown -R our_user /usr/local/www/example/www
Буду благодарен за любую помощь.
-
- ст. прапорщик
- Сообщения: 568
- Зарегистрирован: 2009-09-04 12:23:30
- Откуда: Где-то в России...
- Контактная информация:
Re: chroot во FreeBSD
На корневую папку для домашних директорий поставить права 751Как? только не говорите, что chmod'ом
Как правами сделать так, чтобы пользователь при логине через ssh вообще не видел папки выше своей директории?
www.info-x.org - информационный ресурс о ОС FreeBSD.
- schmel
- рядовой
- Сообщения: 46
- Зарегистрирован: 2010-02-28 22:28:09
Re: chroot во FreeBSD
Поставил, пользователь теперь просто не видит папки других сайтов, но по системе может шариться. И читать конфиги из /etcChihPih писал(а):На корневую папку для домашних директорий поставить права 751
Код: Выделить всё
[vu2010@hosting:/usr/local] $ls
bin etc info libdata man share var
build-1 include lib libexec sbin src www
Код: Выделить всё
[vu2010@hosting:/etc] $cat fstab
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b none swap sw 0 0
/dev/ad0s1a / ufs rw 1 1
/dev/acd0 /cdrom cd9660 ro,noauto 0 0
-
- ст. прапорщик
- Сообщения: 568
- Зарегистрирован: 2009-09-04 12:23:30
- Откуда: Где-то в России...
- Контактная информация:
Re: chroot во FreeBSD
Как бэ начальная задача вполне решаема chmod,ом. Юзверь не сможет узнать какие файлы/папки где есть, по сути этого хватит.то он сможет просматривать список каталогов, выше своей директории, хотя и не сможет прочитать другие файлы, просто видит папки.
Если так сильно хочется поизвращаться то смотрите маны и доки на оф. сайте по MAC.
www.info-x.org - информационный ресурс о ОС FreeBSD.
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: chroot во FreeBSD
Разве можно правами ограничить чтение rc.conf passwd groups named.conf и т.п.?Alex Keda писал(а):однако, я непонимаю - зачем chroot?
права на хомяки раздать и всё.
и пусть шарятся где хотят...
вот вам ссылочка: http://www.host-food.ru/
возьмите пробник, попросите ssh в тикетнице - его нет на пробнике по дефолту
пошарьтесь, посмотрите...
- dekloper
- ст. лейтенант
- Сообщения: 1331
- Зарегистрирован: 2008-02-24 15:43:19
- Откуда: давно здесь сидим..
- Контактная информация:
Re: chroot во FreeBSD
jail не?
там шас много че добавилось по части виртуализации стека..
там шас много че добавилось по части виртуализации стека..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: chroot во FreeBSD
Т.е. как я понимаю нормально ограничить пользователя установкой прав нельзя?
Придется дальше копать chroot
jail - вика последний раз правилась в 2011 году (учитывая рынок VDS - похоже так оно и есть, многие предлагают только 8.х)
vImage - не очень понятно замена ли это jail и откажутся ли в ее пользу, но она вообще в 2010 зависла
Очень мало информации.
Да и вообще, в очередной раз наблюдается странное поведение админов проекта - информацию перестали выкладывать даже в вике по TODO релиза
Информация о 10.0 застыла по состоянию за май 2012 года.
А потом удивляются малой численностью сообщества - при таком подходе это не удивительно.
Придется дальше копать chroot
Более накладно (чем chroot) делать.jail не?
Там уже давно добавляют, правят и т.п. Но не совсем понятно на каком они этапе и какие перспективы.там шас много че добавилось по части виртуализации стека..
jail - вика последний раз правилась в 2011 году (учитывая рынок VDS - похоже так оно и есть, многие предлагают только 8.х)
vImage - не очень понятно замена ли это jail и откажутся ли в ее пользу, но она вообще в 2010 зависла
Очень мало информации.
Да и вообще, в очередной раз наблюдается странное поведение админов проекта - информацию перестали выкладывать даже в вике по TODO релиза
Информация о 10.0 застыла по состоянию за май 2012 года.
А потом удивляются малой численностью сообщества - при таком подходе это не удивительно.
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2012-11-21 18:33:03
Re: chroot во FreeBSD
на все важные системные папки поставить права 750 (drwxr-x---) ну и не пускать простых пользователей в группу wheel + на каждую папку пользователя тоже поставить такие права, чтоб не могли лазить по папкам соседей (видить будут но зайти не смогут)... я не большой спец конечно, может это и чревато...но все же думаю что важные системные папки можна защитить таким способом
-
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2009-07-27 12:04:45
Re: chroot во FreeBSD
Нужда в vImage отпала, поцоны юзают vnet+zfs+jail...icb писал(а):Т.е. как я понимаю нормально ограничить пользователя установкой прав нельзя?
Придется дальше копать chroot
Более накладно (чем chroot) делать.jail не?
Там уже давно добавляют, правят и т.п. Но не совсем понятно на каком они этапе и какие перспективы.там шас много че добавилось по части виртуализации стека..
jail - вика последний раз правилась в 2011 году (учитывая рынок VDS - похоже так оно и есть, многие предлагают только 8.х)
vImage - не очень понятно замена ли это jail и откажутся ли в ее пользу, но она вообще в 2010 зависла
Очень мало информации.
Да и вообще, в очередной раз наблюдается странное поведение админов проекта - информацию перестали выкладывать даже в вике по TODO релиза
Информация о 10.0 застыла по состоянию за май 2012 года.
А потом удивляются малой численностью сообщества - при таком подходе это не удивительно.
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: chroot во FreeBSD
Как таким способом защитить /etc/passwd и т.п.?но все же думаю что важные системные папки можна защитить таким способом
Почему?Нужда в vImage отпала