Страница 1 из 2
OpenSSH+chroot
Добавлено: 2008-10-09 16:08:55
l2qwe
ОС OpenBSD 4.3
OpenSSH 5.1
Не проходит авторизацию пользователи группы www которых я хочу закрыт в хом дире
можете проверить.
89.179.124.44 227
login test
psw test12
содержание sshd_config
Код: Выделить всё
Port 227
Protocol 2
Subsystem sftp internal-sftp
Match Group www
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
ChrootDirectory /var/www/users/%u
Код: Выделить всё
# ls /var/www/users/test/*
/var/www/users/test/bin:
cat chmod cp echo ksh ls mkdir mv pwd rm rmdir tar
/var/www/users/test/dev:
null zero
/var/www/users/test/usr:
lib local
#chroot -u test /var/www/users/test/
работает
Код: Выделить всё
# userinfo test
login test
passwd $2a$06$IDvAUiTlqRicB7jYPdA9auyGpjYrUSRqqh4y9R6ERRKdWjIzDfEIa
uid 1001
groups test www
change NEVER
class
gecos test
dir /var/www/users/test/./
shell /bin/ksh
expire NEVER
пробовал и с dir /var/www/users/test/
==================================================================
Что я делаю не так, или чего я не сделал?
Re: OpenSSH+chroot
Добавлено: 2008-10-13 11:02:02
l2qwe
Ни кто что ли, ни настраивал у себя на опене настраивать "запирание пользователя" в хом дире при SSH сессии?
Re: OpenSSH+chroot
Добавлено: 2008-10-15 22:52:20
~>cerber<~
изучи внимательно
hint! чаще всего у людей:
bad ownership or modes for chroot directory
Re: OpenSSH+chroot
Добавлено: 2008-10-18 9:46:42
Гость
да так и есть.
Какие должны быть права?
Сейчас стоит на хом дир 755 test:www
я пробовал и 777 и с test:test, не проканало.
Re: OpenSSH+chroot
Добавлено: 2008-10-18 10:01:54
Гость
у .ssh сейчас стоит
drwx------ 2 test test 512 Sep 29 04:25 .ssh
пробовал и с 777.
Re: OpenSSH+chroot
Добавлено: 2008-10-18 19:26:19
~>cerber<~
Re: OpenSSH+chroot
Добавлено: 2008-10-18 20:17:40
l2qwe
Re: OpenSSH+chroot
Добавлено: 2008-10-20 22:32:26
~>cerber<~
что в логах?
Re: OpenSSH+chroot
Добавлено: 2008-10-21 11:13:02
l2qwe
то же самое, ругается на права.
bad ownership or modes for chroot directory
Re: OpenSSH+chroot
Добавлено: 2008-10-21 12:29:31
~>cerber<~
Re: OpenSSH+chroot
Добавлено: 2008-10-23 0:11:09
l2qwe
Код: Выделить всё
# ls -al
total 48
drwxrwxrwx 8 root www 512 Oct 22 19:08 .
drwxr-xr-x 11 root daemon 512 Oct 11 18:33 ..
-rw-r--r-- 1 test test 774 Sep 29 04:25 .cshrc
-rw-r--r-- 1 test test 317 Sep 29 04:25 .login
-rw-r--r-- 1 test test 105 Sep 29 04:25 .mailrc
-rw-r--r-- 1 test test 218 Sep 29 04:25 .profile
drwx------ 2 test test 512 Sep 29 04:25 .ssh
drwxr-xr-x 2 root www 512 Oct 7 03:17 bin
drwxr-xr-x 2 root www 512 Oct 7 03:51 dev
drwxr-xr-x 2 root www 512 Oct 7 03:50 logs
drwxr-xr-x 4 root www 512 Oct 7 03:50 usr
drwxr-xr-x 2 root www 512 Oct 7 03:50 www
Не работает.
Код: Выделить всё
# ls -al
total 48
drwxrwxrwx 8 test www 512 Oct 22 19:08 .
drwxr-xr-x 11 root daemon 512 Oct 11 18:33 ..
-rw-r--r-- 1 test test 774 Sep 29 04:25 .cshrc
-rw-r--r-- 1 test test 317 Sep 29 04:25 .login
-rw-r--r-- 1 test test 105 Sep 29 04:25 .mailrc
-rw-r--r-- 1 test test 218 Sep 29 04:25 .profile
drwx------ 2 test test 512 Sep 29 04:25 .ssh
drwxr-xr-x 2 root www 512 Oct 7 03:17 bin
drwxr-xr-x 2 root www 512 Oct 7 03:51 dev
drwxr-xr-x 2 root www 512 Oct 7 03:50 logs
drwxr-xr-x 4 root www 512 Oct 7 03:50 usr
drwxr-xr-x 2 root www 512 Oct 7 03:50 www
Не работает.
в логах всё то же.
host sshd[19042]: fatal: bad ownership or modes for chroot directory "/var/www/users/test"
Re: OpenSSH+chroot
Добавлено: 2008-10-23 12:03:16
zingel
tcpwrapper отключи
Re: OpenSSH+chroot
Добавлено: 2008-10-30 11:17:46
l2qwe
Выключен.
PS пользователи не входящие в группу www спокойно входят и всё нормально, но для них не описано запирании в хом дире.
Re: OpenSSH+chroot
Добавлено: 2008-12-26 2:08:03
serge
Решилась проблема?
===
Щас с тем же самым мудохаюсь
Re: OpenSSH+chroot
Добавлено: 2008-12-31 15:08:47
l2qwe
нет, у меня эта проблемка ещё весит.
Re: OpenSSH+chroot
Добавлено: 2008-12-31 20:17:53
~>cerber<~
мини-статья))
Начиная с 4.3-stable ( в 4.2 snapshot-ах уже было и ранее) разработчики включили chroot в openssh
Код: Выделить всё
root@gate ~ # uname -srv
OpenBSD 4.4 GENERIC#1021
root@gate ~ # mkdir -p /home/test/bin
root@gate ~ # cp /bin/ksh /home/test/bin/
root@gate ~ # useradd -d / -g users -s /bin/ksh testuser
root@gate ~ # passwd testuser
добавляем в /etc/ssh/sshd_config
Код: Выделить всё
Match user testuser
ChrootDirectory /home/test
Код: Выделить всё
root@gate ~ # sshd -t
root@gate ~ # kill -1 `cat /var/run/sshd.pid`
проверяем:
Код: Выделить всё
root@gate ~ # ssh testuser@localhost
testuser@localhost's password:
ksh: No controlling tty (open /dev/tty: No such file or directory)
ksh: warning: won't have full job control
$
далее по желанию, выдержка из мана
The ChrootDirectory must contain the necessary files and directo-
ries to support the users' session. For an interactive session
this requires at least a shell, typically sh(1), and basic /dev
nodes such as null(4), zero(4), stdin(4), stdout(4), stderr(4),
arandom(4) and tty(4) devices. For file transfer sessions using
``sftp'', no additional configuration of the environment is nec-
essary if the in-process sftp server is used (see Subsystem for
details).
Re: OpenSSH+chroot
Добавлено: 2009-01-04 0:17:33
l2qwe
Большое спасибо и не обязательно хом рут указывать корнем и в этот же хом рут можно закинуть /bin/ ( не весь, а только необходимое cp, ls .... )
Но получилось только с одним пользователем, то есть при добавление нового пользователя приходиться пере запускать sshd так как редактируется sshd_config. А хотелось бы чтоб при добавление нового пользователя не пере запускать sshd (перезапуск означает срыв текущих сеансов)
Пробовал такого рода(аналагично первому посту, не помню где уже это встречал)
Код: Выделить всё
Match Group www
ChrootDirectory /var/www/users/%u
но после ввода логина и пароля происходит обрыв.
PuTTY выдаёт фаттал еррор Server unexpectedly closed network connection
В логах следующее.
Код: Выделить всё
# grep test-ho /var/log/authlog
Jan 3 12:34:48 webserv1 sshd[26550]: Accepted password for test-ho from 172.168.0.200 port 37670 ssh2
Re: OpenSSH+chroot
Добавлено: 2009-01-04 0:49:23
~>cerber<~
l2qwe писал(а):Большое спасибо и не обязательно хом рут указывать корнем и в этот же хом рут можно закинуть /bin/ ( не весь, а только необходимое cp, ls .... )
желательно, чтоб не было путаницы, иначе как /home/user в chroot будет как /home/user/home/user, дело вкуса
l2qwe писал(а):Но получилось только с одним пользователем, то есть при добавление нового пользователя приходиться пере запускать sshd так как редактируется sshd_config. А хотелось бы чтоб при добавление нового пользователя не пере запускать sshd (перезапуск означает срыв текущих сеансов)
имхо:иначе никак, sshd однопоточный, sshd довольно секьюрный чтоб разрешать менять его конфиг "на лету"
l2qwe писал(а):Пробовал такого рода(аналагично первому посту, не помню где уже это встречал)
Код: Выделить всё
Match Group www
ChrootDirectory /var/www/users/%u
но после ввода логина и пароля происходит обрыв.
PuTTY выдаёт фаттал еррор Server unexpectedly closed network connection
В логах следующее.
Код: Выделить всё
# grep test-ho /var/log/authlog
Jan 3 12:34:48 webserv1 sshd[26550]: Accepted password for test-ho from 172.168.0.200 port 37670 ssh2
логи не те смотрите, это быстрее будет в
/var/log/messages или /var/log/daemon
%u - имя пользователя, %h- домашняя папка
Re: OpenSSH+chroot
Добавлено: 2009-01-04 2:32:03
Alex Keda
а почему у меня при перезапуске сессии не рвуться?
Код: Выделить всё
hosting# date && /etc/rc.d/sshd restart && date
воскресенье, 4 января 2009 г. 02:31:42 (MSK)
Stopping sshd.
Starting sshd.
воскресенье, 4 января 2009 г. 02:31:42 (MSK)
hosting#
hosting#
hosting# date
воскресенье, 4 января 2009 г. 02:31:45 (MSK)
hosting#
Re: OpenSSH+chroot
Добавлено: 2009-01-04 12:00:56
l2qwe
lissyara писал(а):/etc/rc.d/sshd restart
Это в OpenBSD?
А то у меня получается так:
Код: Выделить всё
# /etc/rc.d/sshd restart
ksh: /etc/rc.d/sshd: not found
и
Код: Выделить всё
# /usr/sbin/sshd restart
Extra argument restart.
и в мане без флагов нет аргументов
Код: Выделить всё
SYNOPSIS
sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-f config_file]
[-g login_grace_time] [-h host_key_file] [-k key_gen_time]
[-o option] [-p port] [-u len]
я перезапускаю через kill
Re: OpenSSH+chroot
Добавлено: 2009-01-04 12:33:30
Alex Keda
ну, в ваших недоделаных системах - ничем не могу помочь
))
как вариант - посомтерть стартовый скрипт во фре и написать свой, похожий
=========
всё время забываю что тут уже не тока фря обсуждается....
Re: OpenSSH+chroot
Добавлено: 2009-01-04 13:55:11
~>cerber<~
lissyara писал(а):ну, в ваших недоделаных системах - ничем не могу помочь
))
все что нужно, доделано, сначала разберись
Re: OpenSSH+chroot
Добавлено: 2009-01-04 18:12:54
Alex Keda
вот. а тут, видать ненужный функционал - перезапуск sshd.
его пусть все сами доделывают
)
Re: OpenSSH+chroot
Добавлено: 2009-01-04 20:11:58
~>cerber<~
не вижу сложностей с
архитектуру системы придумали не дураки, быстро привык ко многим, казалось бы, диким вещам
согласен, что много минимализма, но со временем тебе даже это нравится, можешь поверить на слово
Re: OpenSSH+chroot
Добавлено: 2009-01-04 21:07:35
Alex Keda
я юзал FreeBSD 4.11 - по тому что вижу - вполне на неё смахивает, не считая что во фре всё было просто умней.