forum.opennet.ru - "Запретить доступ к директориям для ssh-пользователей" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Запретить доступ к директориям для ssh-пользователей"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Запретить доступ к директориям для ssh-пользователей"
Сообщение от shizzzgara (ok) on 25-Мрт-06, 19:53
Честное слово, я не блондинка, но не могу въехать - как решить стоящую передо мной задачу. Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные сервера с доступом к их директориям по ssh. Я с энтузиазмом взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории сделала в домашних директориях... Зашла под пользователем и вижу, что хорек может читать массу файлов к которым его подпускать не хочу. Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг, есть способ типа того файла, который не пускал бы ssh-юзера за пределы его home? Спасибо.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Запретить доступ к директориям для ssh-пользователей, gr, 23:08 , 25-Мрт-06, (1)

Запретить доступ к директориям для ssh-пользователей, msc, 17:53 , 26-Мрт-06, (2)

Запретить доступ к директориям для ssh-пользователей, shizzzgara, 17:55 , 26-Мрт-06, (3)

Запретить доступ к директориям для ssh-пользователей, Keeper, 12:44 , 27-Мрт-06, (4)

Запретить доступ к директориям для ssh-пользователей, shizzzgara, 18:52 , 04-Апр-06, (6)

Запретить доступ к директориям для ssh-пользователей, Adil_18, 10:31 , 28-Мрт-06, (5)
Запретить доступ к директориям для ssh-пользователей, limp0p0, 14:35 , 12-Апр-06, (7)

Запретить доступ к директориям для ssh-пользователей, shizzzgara, 21:53 , 13-Апр-06, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Запретить доступ к директориям для ssh-пользователей"

Сообщение от gr (??) on 25-Мрт-06, 23:08

>  Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.
Способов есть несколько, погугли на тему:
http://www.google.com/search?q=ssh+chroot
Или вот есть такой проектик
http://chrootssh.sourceforge.net/index.php

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Запретить доступ к директориям для ssh-пользователей"

Сообщение от msc (??) on 26-Мрт-06, 17:53

>Способов есть несколько, погугли на тему:
>
>http://www.google.com/search?q=ssh+chroot
>
>Или вот есть такой проектик
>
>http://chrootssh.sourceforge.net/index.php
Cпасибо. Ключевое слово "chroot" в бестолковую голову не пришло.
Я на FreeBSD совсем недавно и наложение патчей несколько пугает. Нашла в портах чудную, надеюсь, штуку - scponly. Вроде то, что мне нужно:
"cponly is an alternative 'shell' (of sorts) for system administrators who would like to provide access to remote users to both read and write local files without providing any remote execution priviledges. Functionally, it is best described as a wrapper to the tried and true ssh suite of applications."
и далее в фичах
"logging: scponly logs time, client IP, username, and the actual request to syslog
chroot: scponly can chroot to the user's home directory, disallowing access to the rest of the filesystem.
sftp compatibility and sftp-logging compatibility..."

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Запретить доступ к директориям для ssh-пользователей"

Сообщение от shizzzgara (ok) on 26-Мрт-06, 17:55

Сорри. Не глянула и зашла под чужим логином. Предыдущее сообщение от меня :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Запретить доступ к директориям для ssh-пользователей"

Сообщение от Keeper (??) on 27-Мрт-06, 12:44

Как вариант, /usr/ports/security/chrootuid :
The chrootuid command combines chroot(8) and su(1) into one program,
so that there is no need to have commands such as /usr/bin/su in the
restricted environment.  Access to the file system is restricted to
the newroot subtree and privileges are restricted to those of the
newuser account (which must be a known account in the unrestricted
environment).
Когда у меня возникла похожая задача, я написал пару скриптов для построения полно- (или полу-) функционального chroot-окружения и запирания юзверя в нем:
ftp://62.76.123.58/unix/security/chrooted-shell-1.3.tar.gz
Сорри, док нету, и скрипт под себя надо править руками. -_-

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Запретить доступ к директориям для ssh-пользователей"

Сообщение от shizzzgara (ok) on 04-Апр-06, 18:52

>Как вариант, /usr/ports/security/chrootuid :
>
>The chrootuid command combines chroot(8) and su(1) into one program,
>so that there is no need to have commands such as /usr/bin/su
>in the
>restricted environment.  Access to the file system is restricted to
>the newroot subtree and privileges are restricted to those of the
>newuser account (which must be a known account in the unrestricted
>environment).
>
>Когда у меня возникла похожая задача, я написал пару скриптов для построения
>полно- (или полу-) функционального chroot-окружения и запирания юзверя в нем:
>ftp://62.76.123.58/unix/security/chrooted-shell-1.3.tar.gz
>Сорри, док нету, и скрипт под себя надо править руками. -_-
Cпасибо. Проблема отодвинулась на пару недель, поэтому сразу не ответила. Еще раз спасибо :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Запретить доступ к директориям для ssh-пользователей"

Сообщение от Adil_18 on 28-Мрт-06, 10:31

>  Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.

или засовывай все это дело в jail

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Запретить доступ к директориям для ssh-пользователей"

Сообщение от limp0p0 on 12-Апр-06, 14:35

>  Честное слово, я не блондинка, но не могу въехать -
>как решить стоящую передо мной задачу.
> Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять
>на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные
>сервера с доступом к их директориям по ssh. Я с энтузиазмом
>взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории
>сделала в домашних директориях... Зашла под пользователем и вижу, что хорек
>может читать массу файлов к которым его подпускать не хочу.
> Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая
>смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd
>не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг,
>есть способ типа того файла, который не пускал бы ssh-юзера за
>пределы его home?
>
> Спасибо.
http://rssh.sourceforge.net/
Description: Restricted shell for SSHd

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Запретить доступ к директориям для ssh-пользователей"

Сообщение от shizzzgara (ok) on 13-Апр-06, 21:53

>http://rssh.sourceforge.net/
>Description: Restricted shell for SSHd
Cпасибо. Попробую :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Запретить доступ к директориям для ssh-пользователей"
Сообщение от gr (??) on 25-Мрт-06, 23:08
> Честное слово, я не блондинка, но не могу въехать - >как решить стоящую передо мной задачу. > Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять >на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные >сервера с доступом к их директориям по ssh. Я с энтузиазмом >взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории >сделала в домашних директориях... Зашла под пользователем и вижу, что хорек >может читать массу файлов к которым его подпускать не хочу. > Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая >смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd >не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг, >есть способ типа того файла, который не пускал бы ssh-юзера за >пределы его home? > > Спасибо. Способов есть несколько, погугли на тему: http://www.google.com/search?q=ssh+chroot Или вот есть такой проектик http://chrootssh.sourceforge.net/index.php
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Запретить доступ к директориям для ssh-пользователей"
	Сообщение от msc (??) on 26-Мрт-06, 17:53
	>Способов есть несколько, погугли на тему: > >http://www.google.com/search?q=ssh+chroot > >Или вот есть такой проектик > >http://chrootssh.sourceforge.net/index.php Cпасибо. Ключевое слово "chroot" в бестолковую голову не пришло. Я на FreeBSD совсем недавно и наложение патчей несколько пугает. Нашла в портах чудную, надеюсь, штуку - scponly. Вроде то, что мне нужно: "cponly is an alternative 'shell' (of sorts) for system administrators who would like to provide access to remote users to both read and write local files without providing any remote execution priviledges. Functionally, it is best described as a wrapper to the tried and true ssh suite of applications." и далее в фичах "logging: scponly logs time, client IP, username, and the actual request to syslog chroot: scponly can chroot to the user's home directory, disallowing access to the rest of the filesystem. sftp compatibility and sftp-logging compatibility..."
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Запретить доступ к директориям для ssh-пользователей"
	Сообщение от shizzzgara (ok) on 26-Мрт-06, 17:55
	Сорри. Не глянула и зашла под чужим логином. Предыдущее сообщение от меня :)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

4. "Запретить доступ к директориям для ssh-пользователей"
Сообщение от Keeper (??) on 27-Мрт-06, 12:44
Как вариант, /usr/ports/security/chrootuid : The chrootuid command combines chroot(8) and su(1) into one program, so that there is no need to have commands such as /usr/bin/su in the restricted environment. Access to the file system is restricted to the newroot subtree and privileges are restricted to those of the newuser account (which must be a known account in the unrestricted environment). Когда у меня возникла похожая задача, я написал пару скриптов для построения полно- (или полу-) функционального chroot-окружения и запирания юзверя в нем: ftp://62.76.123.58/unix/security/chrooted-shell-1.3.tar.gz Сорри, док нету, и скрипт под себя надо править руками. -_-
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Запретить доступ к директориям для ssh-пользователей"
	Сообщение от shizzzgara (ok) on 04-Апр-06, 18:52
	>Как вариант, /usr/ports/security/chrootuid : > >The chrootuid command combines chroot(8) and su(1) into one program, >so that there is no need to have commands such as /usr/bin/su >in the >restricted environment. Access to the file system is restricted to >the newroot subtree and privileges are restricted to those of the >newuser account (which must be a known account in the unrestricted >environment). > >Когда у меня возникла похожая задача, я написал пару скриптов для построения >полно- (или полу-) функционального chroot-окружения и запирания юзверя в нем: >ftp://62.76.123.58/unix/security/chrooted-shell-1.3.tar.gz >Сорри, док нету, и скрипт под себя надо править руками. -_- Cпасибо. Проблема отодвинулась на пару недель, поэтому сразу не ответила. Еще раз спасибо :)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

5. "Запретить доступ к директориям для ssh-пользователей"
Сообщение от Adil_18 on 28-Мрт-06, 10:31
> Честное слово, я не блондинка, но не могу въехать - >как решить стоящую передо мной задачу. > Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять >на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные >сервера с доступом к их директориям по ssh. Я с энтузиазмом >взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории >сделала в домашних директориях... Зашла под пользователем и вижу, что хорек >может читать массу файлов к которым его подпускать не хочу. > Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая >смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd >не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг, >есть способ типа того файла, который не пускал бы ssh-юзера за >пределы его home? > > Спасибо. или засовывай все это дело в jail
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

7. "Запретить доступ к директориям для ssh-пользователей"
Сообщение от limp0p0 on 12-Апр-06, 14:35
> Честное слово, я не блондинка, но не могу въехать - >как решить стоящую передо мной задачу. > Сравнительно недавно я перешла на FreeBSD и руководство попросило меня принять >на наш web-сервер несколько гостевых сайтов, т.е. организовать для них виртуальные >сервера с доступом к их директориям по ssh. Я с энтузиазмом >взялась за дело. Сделала name-based виртуальные сервера, www и cgi-bin директории >сделала в домашних директориях... Зашла под пользователем и вижу, что хорек >может читать массу файлов к которым его подпускать не хочу. > Когда-то работала, если не ошибаюсь, с wu-ftpd, и там была такая >смешная штука - файлик лежащий в "закрытой" директории, видя который wu-ftpd >не показывал юзеру файлы. Сейчас это решается куда разумнее, но вдруг, >есть способ типа того файла, который не пускал бы ssh-юзера за >пределы его home? > > Спасибо. http://rssh.sourceforge.net/ Description: Restricted shell for SSHd
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "Запретить доступ к директориям для ssh-пользователей"
	Сообщение от shizzzgara (ok) on 13-Апр-06, 21:53
	>http://rssh.sourceforge.net/ >Description: Restricted shell for SSHd Cпасибо. Попробую :)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]