Re: ssh chroot'en ?

From: Oliver Fromme <olli(at)secnetix.de>
Date: Sun, 10 Jun 2001 13:14:14 +0200 (CEST)

Rainer Duffner <duffner(at)fh-konstanz.de> wrote:
> kann man Leute, die eine normale Shell haben und sich mit SSH
> einloggen, in Ihr Homedirectory chrooten ?
> Sie sollen dort auch ihre public_html dirs haben, und die mssen
> ja zumindest von httpd group-readable sein.
> Oder wie stelle ich es sonst an, dass User nicht in andere $HOMEs snoopen
> k”nnen ?

Wenn Du es _ganz_ sicher machen willst ...

 - Setze für jeden User ein jail auf (siehe dir manpages
   jail(2) und jail(8)).

 - Jails haben gegenüber chroot den Vorteil, daß man nicht
   nur keine Dateien sehen kann, die sich außerhalb befin-
   den, sondern auch keine Prozesse und Serversockets. Mit
   meinem Patch aus kern/26740 sieht man auch keine Mount-
   points außerhalb des jails mehr. Außerdem kann selbst
   root nicht mehr aus einem jail ausbrechen. Bei einem
   sorgsam eingerichteten jail kann man unter bestimmten
   Umständen den Usern sogar das root-Paßwort des jails ge-
   ben.

 - Wenn Du ausreichend IPs zur Verfügung hast, gib jedem
   jail eine eigene IP und laß in jedem jail einen eigenen
   ssh auf dieser IP laufen.

 - Hast Du nicht genug IPs, dann starte in jedem jail einen
   sshd auf einem eigenen Port. Du mußt dann jedem User
   "seine" ssh-Portnummer mitteilen, die er dann z.B. so in
   seine ~/.ssh/config eintragen kann:
      Host <DEINHOST>
      Port <SEINPORT>

 - Der httpd darf in dem Fall nicht in einem jail laufen,
   so daß er auf die public_html der gejailten User zugrei-
   fen kann. _Theoretisch_ könntest Du auch in jedem User-
   jail einen eigenen httpd laufen lassen, und außerhalb
   der jails lediglich einen Simpel-httpd, der zu den ein-
   zelnen gejailten einen Redirect ausspuckt (oder per
   ProxyPass transparent durchreicht), aber das wäre wahr-
   scheinlich wirklich Overkill. :-)

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 10 Jun 2001 - 13:14:17 CEST

search this site