LINUX.ORG.RU
ФорумAdmin

Удалённый по ssh с последующим chroot для сторонних пользователей

 ,


0

1

По наследству достался проект, который требует ubuntu-bionic. Через chroot работаю на персональном компьютере, иногда удалённо через ssh. Всё замечательно.

И вот хочется дать возможность удалённо подключаться коллеге.

Но чтобы сделать chroot нужен root-доступ. Давать root-доступ постороннему человеку я не готов.

Как дать возможность удалённо подключаться коллеге, чтобы он мог работать в «chroot-клетке», но root-доступа не имел на моём компьютере?

nftables, проверка ttl
BIND. Обратная зона

стандартно, специальный пользователь, которому дозволено что-то конкретно. куча инструментов, от sudo и mount bind до ядрённых подсистем.

pfg ★★★★★
()

https://codeberg.org/shelter/reschroot

schroot

Securely enter a chroot and run a command or login shell.

Note that giving untrusted users root access to chroots is a serious
security risk!  Although the untrusted user will only have root access
to files inside the chroot, in practice there are many obvious ways of
breaking out of the chroot and of disrupting services on the host
system.  As always, this boils down to trust.  Don't give chroot root
access to users you would not trust with root access to the host
system.

For compatibility with existing tools and scripts, wrapper binaries
for dchroot and DSA dchroot are provided.
futurama ★★★★★
()

Может быть так в конфиге sshd_config:

Match user coworker
    ChrootDirectory /bionic-sysroot

Только учётку для него наверное надо завести и на хосте и в чруте, я не пробовал.

iliyap ★★★★★
()
Последнее исправление: iliyap (всего исправлений: 1)

Как дать возможность удалённо подключаться коллеге, чтобы он мог работать в «chroot-клетке», но root-доступа не имел на моём компьютере?

Создать «chroot-клетку» и пусть крутиться в ней, этой практике не одно десятилетие исполнилось.

anc ★★★★★
()
nftables, проверка ttl
Admin
BIND. Обратная зона