PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sftp Problem



realsic
08.09.04, 11:58
Hallo,

ich habe mir nach dieser Anleitung http://www.control-alt-del.org/code/sftp-chroot-howto.html einen sftp-Zugriff in einer chroot-Umgebung eingerichtet. Ich nutze SuSE-Linux 9.0 Prof. und habe die Pfade in dem Howto entsprechend angepasst.

Wenn ich jetzt sftp user@localhost ausführe bekomme ich einen Timeout.

In der /var/log/messages steht:

Sep 8 11:48:53 support sshd[23644]: Accepted password for user from ::1 port 41941 ssh2
Sep 8 11:48:53 support sshd[23644]: subsystem request for sftp

..und dann passiert nix mehr!

Ich bin für jeden Hinweis dankbar :)
cu, realsic

realsic
09.09.04, 13:47
Hi,

ich habe jetzt in dieser Anleitung http://www.tjw.org/chroot-login-HOWTO/ gelesen dass einige libs in das chroot kopiert werden müssen, auch wenn ldd sie nicht anzeigt. Und siehe da - es funktioniert!

Jetzt hab ich nur eine chroot-Frage. Leider konnte mir das auch die Suchfunktion nicht beantworten..

Also ich hab als Verzeichnis für chroot /home/chroot und einen Benutzer test in dessen /home/chroot/etc/passwd ich als home verzeichnis /test eingetragen habe.

Geh ich jetzt über einen sftp-client dran dann landet er auch korrekt in /home/chroot/test jedoch kann ich noch eine ebene höher gehen. Dass heißt ich kann über den Client bis zu /home/chroot gehen was dann als / angezeigt wird. Also sehe ich auch die verzeichnisse bin lib usw.

Ist das normal oder hab ich es irgendwie nicht restriktiv genug konfiguriert? Am liebsten wär mir natürlich er landet in /home/chroot/test und kann von da aus auch nicht mehr weiter zurück. Geht das?

thx & gruß
realsic

realsic
20.09.04, 14:43
Also ich bin ja denk ich nicht der erste der sich nen sftp-Server einrichtet. Und die Frage ist denk ich auch nicht sehr spezifisch, also nochmal:

Kann ich meinen sftp-Server auch so einrichten dass der User wirklich nur sein Verzeichnis sieht? Also nicht wie jetzt auch das /bin /etc usw..

thx

IT-Low
20.09.04, 14:52
Kann ich meinen sftp-Server auch so einrichten dass der User wirklich nur sein Verzeichnis sieht? Also nicht wie jetzt auch das /bin /etc usw..

http://kai.iks-jena.de/scpsftp/ssh-rssh-sftp.html

realsic
20.09.04, 15:17
Sorry, ich hatte mich wohl nicht klar ausgedrückt. Also ich meinte dass der User ja innerhalb seiner Chroot-Umgebung die Ordner (wie etc oder so) sieht. Was ja an sich auch oaky ist da ihm ja so eine Umgebung vorgegaukelt werden soll. Aber geht es auch dass er es garnicht sieht sondern wirklich nur sein home?

Zur Verdeutlichung für den user test:

Seine Chroot-Umgebung ist: /home/chroot/test
Er landet bei login automatisch in: /home/chroot/test/home
Nun kann er aber zurück bis zu seiner chroot-Umgebung gehen, so dass er z.b. auch /home/chroot/test/etc sieht.

Kann man ihn also wirklich nur auf /home/chroot/test und nicht auf /home/chroot/test/home festnageln?

dingeling
24.09.04, 08:53
Was er nicht hat kann er nicht ausführen kann er nicht starten kann nicht gehen.
So einfach ist das. Aber was ist so schlimm dran, wenn er ein bischen /usr, ein
bisschen /dev usw. sieht? Hab grad ne chroot Umgebung auf Solaris eingerichtet,
das einzige was Probleme macht ist, die libs rauszufinden.
ldd lügt das sich die Balgen biegen :D

Also changeroot ist:
Homeverzeichnis in /home/user/
Darin sind dann /bin, /usr/, /usr/bin, /usr/lib usw, /dev

Ich schreibe extra einen / vorne ran, den für den User ist das ja SEINE root,
wenn alles funtz. Er kann nur nicht aus /home/user/ in ein tiefer gelegenes
Verzeichnis wechseln.

Alles, was nicht innerhalb seiner / liegt, kann er auch nicht ausführen ;)

realsic
24.09.04, 10:52
Dankeschön ;)

Das hab ich mir schon so gedacht. Schlimm ist das ja eigentlich nicht aber es wäre ganz schön wenn er wirklich nur in seinem home innerhalb der chroot festgehalten werden könnte - sieht halt professioneller aus ;)
In bin ist eh nur der sftp-server sonst nix, damit kann er ja versuchen seine chroot zu schrotten wenn er drauf steht *gg*

btw. hast recht das ldd ist irgendwie ne irreführung hoch drei, hätte deswegen auch schon fast aufgegeben!

hajo
24.09.04, 11:21
Ich verstehe schon was du willst. Du willst quasi ein Jail für den Benutzer haben. Ich habe gehört das rssh so etwas können soll.

dingeling
24.09.04, 20:07
Dankeschön ;)

Das hab ich mir schon so gedacht. Schlimm ist das ja eigentlich nicht aber es wäre ganz schön wenn er wirklich nur in seinem home innerhalb der chroot festgehalten werden könnte - sieht halt professioneller aus ;)
In bin ist eh nur der sftp-server sonst nix, damit kann er ja versuchen seine chroot zu schrotten wenn er drauf steht *gg*

btw. hast recht das ldd ist irgendwie ne irreführung hoch drei, hätte deswegen auch schon fast aufgegeben!

Professionell ist es, seinen Rechner so abzudichten, das keiner mehr ran kommt.
Das betrifft Sicherheitslöcher, ungenutzte Dienste, iptables usw.
Man kann auch eine chroot hacken, hab hier einige Links von sogenanten chroot-hacks auf Solaris.
Und dann noch ein root-kit, das wars ;)
Ich denke du weist was ich meine, Ferrari fahren kann jeder, aber ihn beherschen
ist ne andere Sache. Wobei ich nicht sagen will, das ichs kannn, ich bin gerade
dabei den Sicherheitsgurt anzulegen :D

Wenn du willst, schreib ich dir ne Liste von den binarys und libs, die ich benötigt
habe. Allerdings weis ich nicht ob das auf Linux die selben sind.
Aber erst am Montag wenn ich wieder Arbeite, jetzt ist erst mal Woe :ugly: