Главная » Форум » Gentoo Linux » Системное администрирование

Openssh chroot

Nosk 3 ноября, 2008 - 21:44

Надо настроить. Сижу и думаю как. Уже притомило копаться. Не могу понять где делаю ошибку. Ход мысли таков:
1.net-misc/openssh-5.1_p1-r1 USE="X pam tcpd" KEYWORDS=~amd64
2. Движемся согласно http://gentoo.linuxhowtos.org/openssh/chrootedssh.htm учитывая http://forums.gentoo.org/viewtopic-p-5247202.html#5247202
В данном случае директория создаётся в разделе /var/www/localhost/chroot/
Здесь же располагаются директории dev home/chroot bin usr ~lib lib64 usr/bin usr/lib usr/lib64/misc/
И собственно набор bash ls mkdir mv ping pwd rm dircolors id ssh sftp-server (chroot проходит в норме - все библиотеки на месте) - проверка ldd
Создаются /dev/null /dev/zero
Далее согласно руководству. Потом создаётся пользователь согласно комманде useradd -s /bin/bash -m -d /home/chroot/./home/testuser -c "testuser" -g users testuser . Изменения вносятся в chroot-директорию
ssh настраивается нас стандартный порт.
Пробовал и более раннюю версию ставить ssh ([chroot]) и последнюю. Пробовал внесения в sshd_config обоих вариантов из http://forums.gentoo.org/viewtopic-p-5247202.html#5247202. Результаты бывают такими:
=>sshd ругается на конфиг
=>вход пользователся по ssh/sftp приводит к отсутствию chroot окружения
=>Соединение прерывается по типу 

Password:
Read from remote host host.ru: Connection reset by peer
Couldn't read packet: Connection reset by peer

В общем у меня пока идей нет.

‹ cifs и права на монтируемые шары postifx with USE=ssl broken after ssl upgrade ›
»

че-то на счет логов не

Автор Aladdin, дата создания 4 ноября, 2008 - 02:33.

че-то на счет логов не густо... ssh -vvv - подробный вывод процесса соединения.

P.S.: Linux - это красная таблетка :-) Windows - синяя...

»

OpenSSH_5.1p1, OpenSSL 0.9.8h

Автор Nosk, дата создания 4 ноября, 2008 - 11:00.
OpenSSH_5.1p1, OpenSSL 0.9.8h 28 May 2008
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to host.ru [10.10.10.10] port 22.
debug1: Connection established.
debug1: identity file /home/eugene/.ssh/identity type -1
debug1: identity file /home/eugene/.ssh/id_rsa type -1
debug1: identity file /home/eugene/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.1
debug1: match: OpenSSH_5.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
The authenticity of host 'host.ru (10.10.10.10)' can't be established.
RSA key fingerprint is 3b:78:6a:5a:20:4b:8e:b0:2e:c1:47:fa:02:21:f7:02.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'host.ru,10.10.10.10' (RSA) to the list of known hosts.
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/eugene/.ssh/identity
debug1: Trying private key: /home/eugene/.ssh/id_rsa
debug1: Trying private key: /home/eugene/.ssh/id_dsa
debug1: Next authentication method: keyboard-interactive
Password:
debug1: Authentication succeeded (keyboard-interactive).
debug1: channel 0: new [client-session]
debug1: Requesting 
debug1: Entering interactive session.
debug1: channel 0: free: client-session, nchannels 1
Read from remote host host.ru: Connection reset by peer
Connection to host.ru closed.
Transferred: sent 1360, received 1832 bytes, in 0.0 seconds
Bytes per second: sent 174202.3, received 234660.7
debug1: Exit status -1

Из /var/log/messages

Nov  4 12:46:30 host sshd[9487]: Accepted keyboard-interactive/pam for chroot from 10.10.10.10 port 33538 ssh2
Nov  4 12:46:30 host sshd[9487]: pam_unix(sshd:session): session opened for user chroot by (uid=0)
Nov  4 12:46:30 host sshd[9499]: fatal: bad ownership or modes for chroot directory component "/var/www/localhost/htdocs/"
Nov  4 12:46:30 host sshd[9487]: pam_unix(sshd:session): session closed for user chroot

Может что-то с правами...

»

Я так понимаю что в папка

Автор calculator, дата создания 12 января, 2009 - 16:12.

Я так понимаю что в папка куда делается chroot не должна принадлежать пользовотелю от которого он делается.
И потом нужно помнить чтобы он работал нужно сделать структуру дир, перенести шелл, бинарники и либы нужные.
Пример:
cd /chroot_dir
mkdir {etc,bin,lib,usr,usr/bin,dev}
mknod dev/null c 1 3
mknod dev/zero c 1 5
cp /bin/bash bin/
скопаровать в lib/ либы из вывода # ldd /bin/bash
Можно проверять: chroot /chroot_dir /bin/bash
А потом после обновлений все еще и актуализировать.

»

Не нужна никакая структура,

Автор umonkey (не зарегистрирован), дата создания 12 февраля, 2009 - 11:54.

Не нужна никакая структура, надо просто внимательно man sshd_config читать: «This path, and all its components, must be root-owned directories that are not writable by any other user or group».

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".