LINUX.ORG.RU
ФорумAdmin

[ssh][безопасность] Ограниченый SSH-доступ

 ,


0

0

Здравствуй, LOR. Такой вопрос возник: есть несколько сотен пользователей, у которых нынче есть доступ на мой сервак только по FTP. Нужно предоставить им SSH-доступ, НО чтобы они никаким образом не могли подняться по каталогам выше своего ~. Рассматривал chroot, jail (все происходит на FreeBSD 6) - не устраивает тем, что нужно иметь всю структуру каталогов (копии /bin/, libexec и пр.) в месте для chroot-а.

Кто подскажет решение такой проблемы, или хотя бы направление, куда двигаться? Или может есть хитрое решение с помощью chroot или jail?

★★★★★

кстати тема, тоже задавался вопросом, мож кто знает?

anonymous
()

>или хотя бы направление, куда двигаться?

эээээ... права на доступ к файлам и каталогам

dimon555 ★★★★★
()

> Здравствуй, LOR. Такой вопрос возник: есть несколько сотен пользователей, у которых нынче есть доступ на мой сервак только по FTP. Нужно предоставить им SSH-доступ, НО чтобы они никаким образом не могли подняться по каталогам выше своего ~. Рассматривал chroot, jail (все происходит на FreeBSD 6) - не устраивает тем, что нужно иметь всю структуру каталогов (копии /bin/, libexec и пр.) в месте для chroot-а.

ssh - это подразумевает shell? если если давать shell то надо дать доступ к /bin/этот-шелл, всякие вспомогательные файлы шелла, команды типа /usr/bin/tar, какое-то подмножество /dev/, /dev/pts и т. д. и т п. Ведь если ничего этого не давать, в чем смысл выдачи шелла?

Если нужен только sftp то тогда /bin /libexec и прочее вроде не нужны...

gods-little-toy ★★★
()
Ответ на: комментарий от Komintern

>и какие ж их выставлять? -x на /home чтоли? или на /?

откуда же мне знать... попробуй, там вроде ещё acl были для freebsd

dimon555 ★★★★★
()
Ответ на: комментарий от dimon555

в гробу я видал ACL для UFS2. так же как и пляски с бубном и правами доступа :) но всеравно спасибо. наверное придется делать chroot.

Komintern ★★★★★
() автор топика 

rssh - Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist


Description: Restricted shell allowing only scp, sftp, cvs, rsync and/or rdist
 rssh is a restricted shell, used as a login shell, that allows users to
 perform only scp, sftp, cvs, rdist, and/or rsync operations.  It can
 also optionally chroot user logins into a restricted jail.
Homepage: http://www.pizzashack.org/rssh/

sdio ★★★★★
()
Ответ на: комментарий от anonymous

nullfs конечно зарешает, но прикол в том что в хомяках юзерских уже есть данные, которые mount-ом перекроются. или этого можно избежать?

Komintern ★★★★★
() автор топика

Дай права 0:0 , 711 на /home, и для каждого юзера vasia:vasia , 750 на его /home/vasia . А по остальной системе пусть лазят - /usr тебе жалко им показать ,что ли?

Bers666 ★★★★★
()
Ответ на: комментарий от Bers666

Тем более, если им действительно надо *работать* по ssh, ты же не протащишь в чрут все perl\php\python и их модули.

Bers666 ★★★★★
()
Ответ на: комментарий от anonymous

>mount_nullfs вам в помощь и не надо ничего копировать.

тысячу смонтированных каталогов потянет ? Нет ? фтопку.

Bers666 ★★★★★
()

Вообще в openssh уже есть встроенный chroot. Всего-лишь надо почитать man ;)

Deleted
()
Ответ на: комментарий от Komintern

А что, ssh1 кто-нибудь пользуется? :)

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin