хостинг ssh доступ
Добавлено: 2008-02-29 14:25:25
Ну вот думаем давать ssh доступ клиентам, как это правильно сделать? и вообще как это делается, пользователь вылазеет из своей диры или нет?
Перегреется танк, заведу звездолёт...
https://forum.lissyara.su/
вродеб вышел патч для OpenSSH который позваляет это делатьkmb писал(а):ну у меня никогда не было такого доступа, и хостингом то особо я и не пользовался, поэтому и не знаю)
Вообще хотелось бы, чтобы пользователь дальше своей диры никуда не выходил, но что-то не предполагаю как это делается...
Не, с джайлом возиться неохото, наткнулся на шелл /usr/ports/shells/scponly вроде бы он позволяет что хочу...Toptyg писал(а):вообще давать локальный доступ к машине жеско... вдруг права где не те кто поставил и тд.... локальные уязвимости в сервисах могут иметь место.
Jail хорошая штука. Но возни много .
1. Не совсем понял о чем речь идет?ProFTP писал(а):1) MAC доступ на файловой системе
2) nosuid + не просматривать чюжие процессы + еще несколько опций systl.conf
3) и рут в RO
я друзьям дал ssh доступ чтобы мозги не грузить с панельками всякими
Код: Выделить всё
# $FreeBSD: src/etc/sysctl.conf,v 1.8 2003/03/13 18:43:50 mux Exp $
#
# This file is read when going to multi-user and its contents piped thru
# ``sysctl'' to adjust kernel values. ``man 5 sysctl.conf'' for details.
#
#
# Uncomment this to prevent users from seeing information about processes that
# are being run under another UID.
compat.linux.osname=FreeBSD
compat.linux.osrelease=4.3-STABLE
kern.argmax=65536
kern.cam.scsi_delay=2000
kern.coredump=0
kern.corefile="/tmp/%U.%N.core"
kern.corefile=%N.sexfault
kern.ipc.maxsockbuf=10485760
kern.ipc.nmbclusters=262144
kern.ipc.shm_allow_removed=1
kern.ipc.shm_use_phys=1
kern.ipc.shmall=130000
kern.ipc.shmmax=67108864 *
kern.ipc.somaxconn=8194
kern.logsigexit=0 # Do not log fatal signal exits (e.g. sig 11)
kern.maxfiles=8080
kern.maxproc=6164
kern.maxprocperuid=1000
kern.maxvnodes=69672
kern.polling.enable=1
kern.polling.user_frac=3
kern.ps_showallprocs=0
kern.sync_on_panic=1
net.inet.icmp.bmcastecho=0
net.inet.icmp.drop_redirect=1
net.inet.icmp.icmplim=200
net.inet.icmp.icmplim_output=1
net.inet.icmp.log_redirect=1
net.inet.icmp.maskrepl=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.check_interface=1 #Verify packet arrives on correct interface
net.inet.ip.fastforwarding=1
net.inet.ip.forwarding=1
net.inet.ip.fw.autoinc_step=50
net.inet.ip.fw.curr_dyn_buckets=256
net.inet.ip.fw.debug=1
net.inet.ip.fw.dyn_ack_lifetime=300
net.inet.ip.fw.dyn_buckets=256
net.inet.ip.fw.dyn_count=3
net.inet.ip.fw.dyn_fin_lifetime=20
net.inet.ip.fw.dyn_max=1000
net.inet.ip.fw.dyn_rst_lifetime=5
net.inet.ip.fw.dyn_short_lifetime=30
net.inet.ip.fw.dyn_syn_lifetime=20
net.inet.ip.fw.enable=1
net.inet.ip.fw.one_pass=1
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=0
net.inet.ip.intr_queue_maxlen=5000
net.inet.ip.portrange.first=49152
net.inet.ip.portrange.last=65535
net.inet.ip.random_id=1 #Assign random ip_id values
net.inet.ip.redirect=0
net.inet.ip.rtexpire=60
net.inet.ip.rtminexpire=10
net.inet.ip.sourceroute=0
net.inet.ip.ttl=128
net.inet.tcp.always_keepalive=1
net.inet.tcp.blackhole=2
net.inet.tcp.delayed_ack=0
net.inet.tcp.drop_synfin=1
net.inet.tcp.icmp_may_rst=1
net.inet.tcp.inflight.enable=1
net.inet.tcp.inflight.min=3000
net.inet.tcp.inflight.stab=2
net.inet.tcp.inflight_enable=1
net.inet.tcp.inflight_min=6144
net.inet.tcp.isn_reseed_interval=1800
net.inet.tcp.keepidle=300000
net.inet.tcp.keepintvl=30000
net.inet.tcp.log_in_vain=1
net.inet.tcp.newreno=1
net.inet.tcp.path_mtu_discovery=0
#net.inet.tcp.recvspace=32179680
net.inet.tcp.rfc1644=1 #Enable rfc1644 (TTCP) extensions
net.inet.tcp.sack.enable=1
#net.inet.tcp.sendspace=32179680
net.inet.tcp.strict_rfc1948=1
net.inet.tcp.syncache.bucketlimit=30
net.inet.tcp.syncache.cachelimit=15359
net.inet.tcp.syncache.hashsize=512
net.inet.tcp.syncache.rexmtlimit=3
net.inet.tcp.syncookies=1
net.inet.udp.blackhole=1
net.inet.udp.log_in_vain=1
#net.inet.udp.maxdgram=10485760
#net.inet.udp.recvspace=10485760
#net.link.ether.bridge.config=ed0
#net.link.ether.bridge.enable=1
#net.link.ether.bridge.ipfw=1
net.link.ether.inet.log_arp_movements=1
net.link.ether.inet.max_age=1200
net.link.ether.ipfw=1
#net.local.dgram.recvspace=10485760
#net.local.stream.recvspace=65535300
#net.local.stream.sendspace=65535300
security.bsd.conservative_signals=1
security.bsd.hardlink_check_gid=1
security.bsd.hardlink_check_uid=1
security.bsd.see_other_gids=0
security.bsd.see_other_uids=0
security.bsd.unprivileged_get_quota=0
security.bsd.unprivileged_proc_debug=0
security.bsd.unprivileged_read_msgbuf=0
vfs.hirunningspace=5242000
vfs.numvnodes=1000000
vfs.vmiodirenable=1
vm.swap_idle_enable=2
vm.swap_idle_enabled=1
vm.swap_idle_threshold2=10
вылезет, я вылазил на многих хостингах и платных и бесплатных, только на nic.ru не смог, там виртуальный сервер поэтому там и хостюсьkmb писал(а): и вообще как это делается, пользователь вылазеет из своей диры или нет?
Код: Выделить всё
security.bsd.see_other_gids=0
security.bsd.see_other_uids=0
+1 для простых сайтов за глаза хватит фтпpaix писал(а):вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.
угу. тут хозяин хостинга дал какому-то - как раз за 5 баксов в месяц.paix писал(а):вообщем, открытые системы это уже само по себе дырка...а если еще и шел раздавать...кому попало на хостинге за 2 бакса в месяц... ничем хорошим это не сулит.
простой и удобный.../usr/ports/security/ssh2
Код: Выделить всё
%crontab
crontab: your UID isn't in the passwd file, bailing out
может ему какая-то команда нужна, неохота перебирать по одному все файлы...cp crontab csh date ls mc mv rm sh
ssh2 не обновлялся уже больше 2-х лет, кроме иксовых зависимостей - и то не в плане безопасности, а в плане подгонки под новую версию иксового сервера. Гораздо секурней будет использоватьkmb писал(а):Остановился короче я напростой и удобный.../usr/ports/security/ssh2
тем более что там в опциях конфигурации есть возможность задать режим установки, при котором порт будет заменять собой базовый sshd и соответственно работать с базовыми же конфиг-файлами. А можно ставить отдельным демоном. И вообще: в плане безопасности OpenBSD-шники каку не сделают/usr/ports/security/openssh-portable
в новой версии добавили возможность чрутить в опциях, но то что в портах бсд она еще не появилась, и появитсо ли вообще хз... поэтому остановился на ssh2/usr/ports/security/openssh-portable
Dog писал(а): В общем, сам я с недавнего времени с ssh2 на всех серверах перелез на openssh-portable, (раньше использовал именно ssh2) чего и всем советую. Ибо, как показывает опыт, нет ничего монолитного и незыблемого в программном мире, все когда-нибудь ломается и чинится, и у меня отсутствует доверие к приложениям, которые не обновляеются годами. Но это ИМХО.