20 votos

¿Cómo puedo chroot ssh conexiones?

Me gustaría instalar una cárcel chroot para la mayoría de los usuarios (no todos) entrar aunque SSH. He oído que es posible con las últimas versiones de openssh, pero no he podido averiguar cómo hacerlo. El cómo de toda conversación de remendar una versión antigua, y el parche ya no está disponible.

Estoy corriendo debian etch.

13voto

gimel Puntos 30150

Estoy usando rssh para este propósito.

Usted tiene razón, hay una nueva forma de hacer y es una característica incorporada de reciente ssh versiones.

Aquí hay un artículo en Undeadly.

6voto

Marie Fischer Puntos 1243

Yo sólo tenía a la instalación de un usuario que sería capaz de entrar por ssh y el ssh a otro servidor (que no está directamente conectado con el mundo exterior). Los enlaces por cstamas y ericmayo fueron un buen comienzo.

Básicamente, he añadido la siguiente línea a /etc/ssh/sshd_config:

Partido de Usuario myuser
 ChrootDirectory /chroot/myuser

A partir de ahí, yo sólo tenía que crear el entorno chroot /chroot/myuser. He copiado /bin/bash y /usr/bin/ssh y las bibliotecas compartidas que necesitaba (ldd para mostrar a los). Para un entorno más amplio, probablemente no tendrían sentido para compilar vinculado estáticamente versiones de los ejecutables necesarios.

Bash trabajó de inmediato, por ssh a trabajar, yo también tenía que crear la .ssh, copia de /etc/passwd, /etc/nsswitch.conf y /lib/libnss_* y create /dev/null, /dev/tty y /dev/urandom a través de mknod.

2voto

Soham Chakraborty Puntos 2587
mkdir /chroot
mkdir -p /chroot/home/<user_name>

mkdir /chroot/home/<user-name>/bin  
cp -pr /bin/bash /chroot/home/<user_name>/bin/.  
cp -pr /bin/ls /chroot/home/<user_name>/bin/.  
cp -pr /lib64 /chroot/home/<user_name>/.

Tienes que editar el /etc/sshd_config y añadir

ChrootDirectory /chroot/%h

Y reiniciar el demonio sshd.

Todo está dicho, creo sinceramente que sftp es una mejor opción.

También, he encontrado esta url, si es útil.

http://www.techrepublic.com/blog/opensource/chroot-users-with-openssh-an-easier-way-to-confine-users-to-their-home-directories/229

1voto

UloPe Puntos 45

Si utiliza la autenticación de clave pública necesitas la opción de "comando" en los Cayos autorizados para configurar la cárcel chroot.

~/.ssh/authorized_keys:

command="/path/to/the/chroot/script" ssh-dss keydata.....keydata... user@host

0voto

HD. Puntos 3345

Que yo sepa las nuevas versiones de OpenSSH sólo permite chroot para SFTP. He probado y funciona. Pero por SSH a la solución disponible es la chrootssh parche. Puedo navegar por el sitio SourceForge y no hay archivos así que creo que está descatalogado.

Para Debian Etch hay algunos archivos aquí: http://debian.home-dn.net/etch/ssh/

Hay otras soluciones aquí: http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html , incluyendo chrootssh .

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: