Страница 1 из 2

хостинг ssh доступ

Добавлено: 2008-02-29 14:25:25
kmb
Ну вот думаем давать ssh доступ клиентам, как это правильно сделать? :) и вообще как это делается, пользователь вылазеет из своей диры или нет?

Re: хостинг ssh доступ

Добавлено: 2008-02-29 14:35:20
serge
Когда еще не было своего сервера, то регился на бесплатных хостингах ssh. Там пользователь мог выйти за пределы диры, но, собственно, туда куда не нужно попасть не мог. В довесок еще куча прог была недоступна.

Re: хостинг ssh доступ

Добавлено: 2008-02-29 14:49:12
kmb
ну у меня никогда не было такого доступа, и хостингом то особо я и не пользовался, поэтому и не знаю)

Вообще хотелось бы, чтобы пользователь дальше своей диры никуда не выходил, но что-то не предполагаю как это делается...

Re: хостинг ssh доступ

Добавлено: 2008-02-29 15:48:46
_kirill_
kmb писал(а):ну у меня никогда не было такого доступа, и хостингом то особо я и не пользовался, поэтому и не знаю)

Вообще хотелось бы, чтобы пользователь дальше своей диры никуда не выходил, но что-то не предполагаю как это делается...
вродеб вышел патч для OpenSSH который позваляет это делать

Re: хостинг ssh доступ

Добавлено: 2008-02-29 20:42:44
Toptyg
вообще давать локальный доступ к машине жеско... вдруг права где не те кто поставил и тд.... локальные уязвимости в сервисах могут иметь место.

Jail хорошая штука. Но возни много ;).

Re: хостинг ssh доступ

Добавлено: 2008-02-29 21:48:03
ProFTP
1) MAC доступ на файловой системе
2) nosuid + не просматривать чюжие процессы + еще несколько опций systl.conf
3) и рут в RO

я друзьям дал ssh доступ чтобы мозги не грузить с панельками всякими :)

Re: хостинг ssh доступ

Добавлено: 2008-03-01 12:55:48
kmb
Toptyg писал(а):вообще давать локальный доступ к машине жеско... вдруг права где не те кто поставил и тд.... локальные уязвимости в сервисах могут иметь место.

Jail хорошая штука. Но возни много ;).
Не, с джайлом возиться неохото, наткнулся на шелл /usr/ports/shells/scponly вроде бы он позволяет что хочу...

Re: хостинг ssh доступ

Добавлено: 2008-03-01 13:49:01
kmb-_1
ProFTP писал(а):1) MAC доступ на файловой системе
2) nosuid + не просматривать чюжие процессы + еще несколько опций systl.conf
3) и рут в RO

я друзьям дал ssh доступ чтобы мозги не грузить с панельками всякими :)
1. Не совсем понял о чем речь идет?
2. nosuid стоит, а какие еще опции?
3. что значит рут в RO?

Re: хостинг ssh доступ

Добавлено: 2008-03-02 10:52:16
ProFTP
1. http://freebsd.org.ua/doc/ru_RU.KOI8-R/ ... k/mac.html
2. это примонтировать, а остальных опций много и я сам точно не знаю какие важны man tuning
3. только чтение man securyti

Re: хостинг ssh доступ

Добавлено: 2008-03-02 11:43:58
ProFTP

Код: Выделить всё

# $FreeBSD: src/etc/sysctl.conf,v 1.8 2003/03/13 18:43:50 mux Exp $
#
#  This file is read when going to multi-user and its contents piped thru
#  ``sysctl'' to adjust kernel values.  ``man 5 sysctl.conf'' for details.
#
#
# Uncomment this to prevent users from seeing information about processes that
# are being run under another UID.
compat.linux.osname=FreeBSD
compat.linux.osrelease=4.3-STABLE
kern.argmax=65536
kern.cam.scsi_delay=2000
kern.coredump=0
kern.corefile="/tmp/%U.%N.core"
kern.corefile=%N.sexfault
kern.ipc.maxsockbuf=10485760
kern.ipc.nmbclusters=262144
kern.ipc.shm_allow_removed=1
kern.ipc.shm_use_phys=1
kern.ipc.shmall=130000 
kern.ipc.shmmax=67108864                             *
kern.ipc.somaxconn=8194
kern.logsigexit=0   # Do not log fatal signal exits (e.g. sig 11)
kern.maxfiles=8080
kern.maxproc=6164
kern.maxprocperuid=1000
kern.maxvnodes=69672
kern.polling.enable=1
kern.polling.user_frac=3
kern.ps_showallprocs=0
kern.sync_on_panic=1
net.inet.icmp.bmcastecho=0
net.inet.icmp.drop_redirect=1
net.inet.icmp.icmplim=200
net.inet.icmp.icmplim_output=1
net.inet.icmp.log_redirect=1
net.inet.icmp.maskrepl=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.check_interface=1 #Verify packet arrives on correct interface
net.inet.ip.fastforwarding=1
net.inet.ip.forwarding=1
net.inet.ip.fw.autoinc_step=50
net.inet.ip.fw.curr_dyn_buckets=256
net.inet.ip.fw.debug=1
net.inet.ip.fw.dyn_ack_lifetime=300
net.inet.ip.fw.dyn_buckets=256
net.inet.ip.fw.dyn_count=3
net.inet.ip.fw.dyn_fin_lifetime=20
net.inet.ip.fw.dyn_max=1000
net.inet.ip.fw.dyn_rst_lifetime=5
net.inet.ip.fw.dyn_short_lifetime=30
net.inet.ip.fw.dyn_syn_lifetime=20
net.inet.ip.fw.enable=1
net.inet.ip.fw.one_pass=1
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=0
net.inet.ip.intr_queue_maxlen=5000
net.inet.ip.portrange.first=49152
net.inet.ip.portrange.last=65535
net.inet.ip.random_id=1 #Assign random ip_id values
net.inet.ip.redirect=0
net.inet.ip.rtexpire=60
net.inet.ip.rtminexpire=10
net.inet.ip.sourceroute=0
net.inet.ip.ttl=128
net.inet.tcp.always_keepalive=1
net.inet.tcp.blackhole=2
net.inet.tcp.delayed_ack=0
net.inet.tcp.drop_synfin=1
net.inet.tcp.icmp_may_rst=1
net.inet.tcp.inflight.enable=1
net.inet.tcp.inflight.min=3000
net.inet.tcp.inflight.stab=2
net.inet.tcp.inflight_enable=1
net.inet.tcp.inflight_min=6144
net.inet.tcp.isn_reseed_interval=1800
net.inet.tcp.keepidle=300000
net.inet.tcp.keepintvl=30000
net.inet.tcp.log_in_vain=1
net.inet.tcp.newreno=1
net.inet.tcp.path_mtu_discovery=0
#net.inet.tcp.recvspace=32179680
net.inet.tcp.rfc1644=1 #Enable rfc1644 (TTCP) extensions
net.inet.tcp.sack.enable=1
#net.inet.tcp.sendspace=32179680
net.inet.tcp.strict_rfc1948=1
net.inet.tcp.syncache.bucketlimit=30
net.inet.tcp.syncache.cachelimit=15359
net.inet.tcp.syncache.hashsize=512
net.inet.tcp.syncache.rexmtlimit=3
net.inet.tcp.syncookies=1
net.inet.udp.blackhole=1
net.inet.udp.log_in_vain=1
#net.inet.udp.maxdgram=10485760
#net.inet.udp.recvspace=10485760
#net.link.ether.bridge.config=ed0
#net.link.ether.bridge.enable=1
#net.link.ether.bridge.ipfw=1
net.link.ether.inet.log_arp_movements=1
net.link.ether.inet.max_age=1200
net.link.ether.ipfw=1
#net.local.dgram.recvspace=10485760
#net.local.stream.recvspace=65535300
#net.local.stream.sendspace=65535300
security.bsd.conservative_signals=1
security.bsd.hardlink_check_gid=1
security.bsd.hardlink_check_uid=1
security.bsd.see_other_gids=0
security.bsd.see_other_uids=0
security.bsd.unprivileged_get_quota=0
security.bsd.unprivileged_proc_debug=0
security.bsd.unprivileged_read_msgbuf=0
vfs.hirunningspace=5242000
vfs.numvnodes=1000000
vfs.vmiodirenable=1
vm.swap_idle_enable=2
vm.swap_idle_enabled=1
vm.swap_idle_threshold2=10

Re: хостинг ssh доступ

Добавлено: 2008-03-02 13:33:46
fr33man

Re: хостинг ssh доступ

Добавлено: 2008-03-02 14:04:12
zg
kmb писал(а): и вообще как это делается, пользователь вылазеет из своей диры или нет?
вылезет, я вылазил на многих хостингах и платных и бесплатных, только на nic.ru не смог, там виртуальный сервер 8) поэтому там и хостюсь

локальные сервисы закрыть можно, а вот оградить пользователей друг от друга по-настоящему можно только с помощью виртуальных серверов

Re: хостинг ssh доступ

Добавлено: 2008-03-02 20:18:26
paix
http://www.opennet.ru/guide.shtml
http://peterhost.ru/highload_report.shtml

лучши вариант предоставления ssh доступа - не давать его.

Re: хостинг ssh доступ

Добавлено: 2008-03-03 8:49:22
ProFTP
мне друг рассказывал, что его админ настроил сервера, потом на одном забыл рут и пришлось взламывать его :) и все получилось...

в рассылке не давно было написано (точно не помню как), но для того чтобы пользователь рутом не завладел нужно MAC использовать...

: ( ) { : | : & } ; : - без пробелов. (сервер повиснить)

этого OpenBSD не боиться :)

Re: хостинг ssh доступ

Добавлено: 2008-03-03 8:51:25
ProFTP

Код: Выделить всё

security.bsd.see_other_gids=0
security.bsd.see_other_uids=0

Re: хостинг ssh доступ

Добавлено: 2008-03-03 10:38:28
paix
никакие MAC от ручных ошибок не защищают. Например, бекапный ахрив с неверными правами...

вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.

Re: хостинг ssh доступ

Добавлено: 2008-03-03 21:01:40
zg
paix писал(а):вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.
+1 для простых сайтов за глаза хватит фтп

если крон не нужен, ssh лучше не давать

Re: хостинг ssh доступ

Добавлено: 2008-03-04 9:20:06
Alex Keda
paix писал(а):вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.
угу. тут хозяин хостинга дал какому-то - как раз за 5 баксов в месяц.
при том что я ему чётко говорил - что на эту тему не чешусь - поэтому никтому не давай без предупреждения...
ладно хоть паранойя встроенная помогла - нигде никаких пермишенов слишком широких не было.
но пришлось пробежаться по диску ещё раз - дял уточнения.
короче неприятно...

Re: хостинг ssh доступ

Добавлено: 2008-03-04 16:52:00
gmn
Я своим разработчикам сайтов дал ssh доступ к серверу.
Только ssh+chroot - дальше каталога сайта они не выйдут.
И чтобы не использовали сервер в качестве плацдарма для скачивания свякой всячины с инета по жирным каналам - запретил через ipfw исходящие коннекты кроме себя, рута, и юзера, от которого работает exim.
P.S. ssh им и нужен был, в основном, чтобы поставить чего-нибудь на закачку минуя прокси :)
Попробовали, обломились - и ssh-ем почти не пользуются. ftp хватает.

Re: хостинг ssh доступ

Добавлено: 2008-04-30 13:15:07
kmb
Остановился короче я на
/usr/ports/security/ssh2
простой и удобный...
Никто запускал crontab в чруте? скопировал в /home/user/bin crontab
запускаю crontab от пользователя

Код: Выделить всё

%crontab
crontab: your UID isn't in the passwd file, bailing out
скопировал в /home/user/etc/passwd и master.passwd для проверки дал права, результат тот же.. чего оно хочет пока не пойму... посмотрел исходники крона, там вроде это выскакивает при сравнение чего-то с уидом пользователя...
Вообще в /home/user/bin положил всего лишь:
cp crontab csh date ls mc mv rm sh
может ему какая-то команда нужна, неохота перебирать по одному все файлы...

Re: хостинг ssh доступ

Добавлено: 2008-04-30 13:25:26
Dog
kmb писал(а):Остановился короче я на
/usr/ports/security/ssh2
простой и удобный...
ssh2 не обновлялся уже больше 2-х лет, кроме иксовых зависимостей - и то не в плане безопасности, а в плане подгонки под новую версию иксового сервера. Гораздо секурней будет использовать
/usr/ports/security/openssh-portable
тем более что там в опциях конфигурации есть возможность задать режим установки, при котором порт будет заменять собой базовый sshd и соответственно работать с базовыми же конфиг-файлами. А можно ставить отдельным демоном. И вообще: в плане безопасности OpenBSD-шники каку не сделают :)

Re: хостинг ssh доступ

Добавлено: 2008-04-30 13:32:50
kmb
/usr/ports/security/openssh-portable
в новой версии добавили возможность чрутить в опциях, но то что в портах бсд она еще не появилась, и появитсо ли вообще хз... поэтому остановился на ssh2

Re: хостинг ssh доступ

Добавлено: 2008-04-30 13:43:08
Dog
Странно, make config показывает, что данная опция присутствует - никогда ее не использовал, о функциональности ничего не скажу, но сам факт: в портированной версии она есть. К тому же, насколько я помню, еще вроде какие-то дыры исправлялись за последние год-два, а не только добавлялась одна, даже такая полезная, фича.
В общем, сам я с недавнего времени с ssh2 на всех серверах перелез на openssh-portable, (раньше использовал именно ssh2) чего и всем советую. Ибо, как показывает опыт, нет ничего монолитного и незыблемого в программном мире, все когда-нибудь ломается и чинится, и у меня отсутствует доверие к приложениям, которые не обновляеются годами. Но это ИМХО.

Re: хостинг ssh доступ

Добавлено: 2008-04-30 14:04:19
kmb
да при сборке есть, однако при добавлении в конфиг опций касательно чрута говорит о не знание таких...

Re: хостинг ssh доступ

Добавлено: 2008-04-30 14:10:12
paix
Dog писал(а): В общем, сам я с недавнего времени с ssh2 на всех серверах перелез на openssh-portable, (раньше использовал именно ssh2) чего и всем советую. Ибо, как показывает опыт, нет ничего монолитного и незыблемого в программном мире, все когда-нибудь ломается и чинится, и у меня отсутствует доверие к приложениям, которые не обновляеются годами. Но это ИМХО.

в freebsd используется openssh собственной сборки со своими патчами и фичами. За его безопасностью следит freebsd security team.

Единственной причиной использования портового ссш является гибкость и удобство обновлений (без необходимости патченья\пересборки мира). Справедливости ради стоит добавить что подобные казусы происхоядт с фрее крайне редко.
Т.ч. я не вижу весомых причин.

Однако, неймед действительно везде использую портовый. (чтобы не обновлять\патчить мир при очередной уязвимости) + из базы он выкинут. Но этот совет также двоякий, кому как удобно и нравится.