Środowisko chroot ssh i powłoka kontra rssh - sprawdzenie bezpieczeństwa
: 06 lutego 2012, 18:38
Witam.
Aktualnie używam FTP przez SSL (poprzez vsftpd) lecz wydaje mi się to zbędne skoro jest SFTP.
Nie chcę robić pełnego środowiska chroot bo jestem zbyt zielony jak na wszystkie operacje, które trzeba przy nim wykonać. Poza tym, chodzi tylko o bezpieczne wysyłanie (pobieranie) plików, nic więcej.
Poszukałem, znalazłem informacje o rssh - działa, lecz użytkownicy mogą wychodzić poza swój katalog, a chcę na ile się da im to ograniczyć
Potem znalazłem informacje o środowisku chroot w ustawieniach ssh więc wygląda to tak:
Działa, użytkownik jest "zamknięty" w swoim katalogu, ale jak to wygląda z punktu widzenia bezpieczeństwa i powłoki?
Przy vsftpd mogłem stosować dla tego użytkownika "powłokę" /bin/false, dla rssh było to /usr/bin/rssh, zaś w ostatecznym rozwiązaniu jest /usr/bash (gdy został zapis z rssh to nie działało).
Czy to nie otwiera jakichś ,,furtek'' i niechcianych dla mnie możliwości dla użytkownika? Przy próbie połączenia przez ssh np. przez PuTTy od razu po podaniu hasła serwer się rozłącza, bo o ile dobrze rozumiem, zawsze wymusza używanie sftp i inne polecenia również się do niego sprowadzają.
Wolałbym się jednak upewnić, czy to oby na pewno bezpieczne rozwiązanie.
Aktualnie używam FTP przez SSL (poprzez vsftpd) lecz wydaje mi się to zbędne skoro jest SFTP.
Nie chcę robić pełnego środowiska chroot bo jestem zbyt zielony jak na wszystkie operacje, które trzeba przy nim wykonać. Poza tym, chodzi tylko o bezpieczne wysyłanie (pobieranie) plików, nic więcej.
Poszukałem, znalazłem informacje o rssh - działa, lecz użytkownicy mogą wychodzić poza swój katalog, a chcę na ile się da im to ograniczyć
Potem znalazłem informacje o środowisku chroot w ustawieniach ssh więc wygląda to tak:
Kod: Zaznacz cały
Match user testowiec
ChrootDirectory /home/testowiec
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding noPrzy vsftpd mogłem stosować dla tego użytkownika "powłokę" /bin/false, dla rssh było to /usr/bin/rssh, zaś w ostatecznym rozwiązaniu jest /usr/bash (gdy został zapis z rssh to nie działało).
Czy to nie otwiera jakichś ,,furtek'' i niechcianych dla mnie możliwości dla użytkownika? Przy próbie połączenia przez ssh np. przez PuTTy od razu po podaniu hasła serwer się rozłącza, bo o ile dobrze rozumiem, zawsze wymusza używanie sftp i inne polecenia również się do niego sprowadzają.
Wolałbym się jednak upewnić, czy to oby na pewno bezpieczne rozwiązanie.