ssh-user mittels libpam-chroot auf home-Verzeichnis beschränken

#0
01.11.2006, 23:20
Moderator
Avatar joschi

Beiträge: 6466
#1 Was soll man sagen- ich bin nach Anleitung mal vorgegangen (s.a. Anhang), allerdings ohne Erfolg, was möglicherweise auch an folgendem Grund liegen könnte.

Es handelt sich um Punkt 5

Zitat

5.- add the neccesary .profile, .cshrc, .bash_profile files to
the CHROOTDIR/home/test directory (fix permissions to your own
needs/policy)
Anzubieten hätte ich .bashrc .bash_profile .bash_logut .bash_history
Zu dem Eintrag, den man in der /etc/pam.d/login vornehmen soll
session required pam_chroot.so debug
habe ich an anderer Stelle eine andere Info gelesen:

Zitat

/etc/pam.d/ssh verändern, um dieses PAM-Modul zu verwenden. Fügen Sie dazu als letzte Zeile Folgendes ein:
session required pam_chroot.so
Befolge ich dies, so schliess sich putty direkt nach der Eingab des Passwortes. In der auth.log steht dann ein Eintrag, den ich leider nicht interpretieren kann.

PAM-env[7970]: Unable to open config file: No such file or directory

PAM-env[7970] ??


__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
02.11.2006, 12:13
Member
Avatar Xeper

Beiträge: 5291
#2 Du willst SSH logins chroot'n?
Dafür brauchst du aber dann ein komplettes Sys unter dem $CHROOT.
Inklusive allem sshd kram usw ;)
Also nicht nur das /home auch /bin /sbin usw.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
02.11.2006, 16:28
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#3

Zitat

Inklusive allem sshd kram usw
Entweder das Readme ist einfach schlecht oder es setzt einfach viel Wissen voraus.
Habe unter http://www.tokkee.de/howtos/chrooted_ssh_howto.php noch was gefunden. Ist wesentlich ausführlicher als das Readme- werde es hiermit bei Gelegenheit versuchen.

Der Hintergrund ist, dass mir scp/sftp kein echter Ersatz für ftp ist, wenn der eingeloggte user einfach durch die kompletten Verzeichnisstruktur stöbern kann. Nun habe ich eben den Ansatz gewählt- sollte es hierfür eine andere Möglichkeit noch geben- bin für wetere Hinweise stets dankbar.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
02.11.2006, 16:39
Member
Avatar Xeper

Beiträge: 5291
#4

Zitat

Der Hintergrund ist, dass mir scp/sftp kein echter Ersatz für ftp ist, wenn der eingeloggte user einfach durch die kompletten Verzeichnisstruktur stöbern kann. Nun habe ich eben den Ansatz gewählt- sollte es hierfür eine andere Möglichkeit noch geben- bin für wetere Hinweise stets dankbar.
Das stimmt mit sshd chrooting habe ich mich bis jetz nich so wirklich außeinander gesetzt aber ich kenne halt die Theorie ;)
Wir haben auf unserem Server immernoch nen vsftpd der über ssl kann.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
04.11.2006, 12:55
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#5

Zitat

aber ich kenne halt die Theorie
Frag´mich, wenn Du bei der Praxis Hilfe brauchst ;) ...
Na...ich denke Du machst das in der halben Zeit- hatte wirklich superviel zu lesen, bis ich das jetzt zu Stande bekam.
Geholfen hat u.a. auch http://wiki.ubuntuusers.de/chroot?highlight=%28chroot%29 - vermittel eine gute Übersicht über die neue Struktur im chroot-jail. Das dort angegebne Script habe ich nicht verwendet.
Mittels ldd muss man sich zusätzlich noch die libraries für scp und sftp in die entsprechenden Verzeichnisse kopieren.

Das Login pber WinSCP funktioniert soweit prima. Up-/Download- alles ok.
Perfekter ftp-Ersatz !

[/i]
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
04.11.2006, 18:03
Member
Avatar Xeper

Beiträge: 5291
#6

Zitat

Frag´mich, wenn Du bei der Praxis Hilfe brauchst ...
Na...ich denke Du machst das in der halben Zeit- hatte wirklich superviel zu lesen, bis ich das jetzt zu Stande bekam.
Geholfen hat u.a. auch http://wiki.ubuntuusers.de/chroot?highlight=%28chroot%29 - vermittel eine gute Übersicht über die neue Struktur im chroot-jail. Das dort angegebne Script habe ich nicht verwendet.
Hehe kann sein, keine Ahnung nie ausprobiert.
War grad mit XGL/AIGLX und beryl dran also echt dagegen ist Vista müll, wenn du wirklich eye-candy willst ;)
Aber schön das es bei dir läuft.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: