Erinevus lehekülje "OpenSSH administreerimine" redaktsioonide vahel
(→Kasutajate chrootimine) |
(→OpenSSH kasutajate chrootimine) |
||
| 20. rida: | 20. rida: | ||
Kasutamiseks tuleb | Kasutamiseks tuleb | ||
| − | * moodustada chroot kasutajate kodukataloogidesse chroot keskkond, nt makejail programmi abil; makejail kasutamist on kirjeldatud tekstis [[: | + | * moodustada chroot kasutajate kodukataloogidesse chroot keskkond, nt makejail programmi abil; makejail kasutamist on kirjeldatud tekstis [[:Operatsioonisüsteemi Debian GNU/Linux kasutamine#makejail abil chroot keskkonna moodustamine]] |
* seadistada OpenSSH server kasutama vastavate kasutajate jaoks ChrootDirectory direktiivi | * seadistada OpenSSH server kasutama vastavate kasutajate jaoks ChrootDirectory direktiivi | ||
Redaktsioon: 30. august 2009, kell 21:19
Sisukord
Sissejuhatus
TODO
OpenSSH paigaldamine
TODO
OpenSSH seadistamine
TODO
OpenSSH kasutajate chrootimine
Debian Lenny sisaldab piisavalt uut OpenSSH tarkvara versiooni, mis võimaldab kasutada ChrootDirectory direktiivi kasutajate chrootimiseks
$ ssh -V OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
Kasutamiseks tuleb
- moodustada chroot kasutajate kodukataloogidesse chroot keskkond, nt makejail programmi abil; makejail kasutamist on kirjeldatud tekstis Operatsioonisüsteemi Debian GNU/Linux kasutamine#makejail abil chroot keskkonna moodustamine
- seadistada OpenSSH server kasutama vastavate kasutajate jaoks ChrootDirectory direktiivi
# cat /etc/ssh/sshd_config ... Subsystem sftp internal-sftp ... Match User mart,priit ChrootDirectory /home/%u AllowTCPForwarding no X11Forwarding no
kusjuures Match sektsioon peab esinema seadistusfaili lõpus, antud juhul on lisaks neil kasutajatel keelatud tcp ja x edasisuunamine.
- kasutaja kodukataloogi ja sellest üles jäävate kataloogide omanik:grupp peab olema root:root ning neisse kataloogidesse ei tohi saada keegi peale juurkasutaja kirjutada
Tulemusena saab kasutaja süsteemi sisse logida ssh ja sftp kliendiga ning see kataloog, mis on süsteemi jaoks tema kodukataloog on tema jaoks tema juurkataloog. Oluline on seejuures, et tavaliseks ssh ligipääsuks ei ole tarvis chroot keskkonda tekitada mingeid seadmeid, ega pole vaja ühendada külge mingeid failisüsteeme (nt /proc, /dev/pty vms) - tähendab, kasutaja ei saa süsteemis liialt ringi uurida ka siis, kui ta omale ise nt netstat ja ps utiliidid kopeerib.
scp klienti selliselt seadistatud serveriga kasutada ei saa, tundub, et scp eeldab paremat varustatust serveri poolelt, muuhulgas /dev/null seadet ja scp programmi). Praktiliselt ehk ei ole tingimata scp kasutamise võimalus ka väga oluline kuna nt WinSCP klient oskab sftp protokolli samuti kasutada.
PPP kasutamine üle SSH
TODO
SSH tunneli kasutamine
TODO
