|
Namazu for hns による簡易全文検索 詳しくは 詳細指定/ヘルプを参照して下さい |
||||||||||||||||||||||||||||||||||||||||||||||||||
2008年08月28日(木) 旧暦 [n年日記] [更新:"2011/03/20 21:41:01"]#1 [NetBSD] ssh を chroot 環境にする
ssh で入った先の環境を chroot にして利用を制限する場合がある。
以前は
openssh
に patch を当てる必要があったが
4.9
辺りから機能が組込ま
れたようだ。例えば NetBSD/4.0 だと、おそらく、次の版が入っている。
ttyqc:makoto@genova 10:06:55/080830(...wip/cygwin-gcc)> ssh -version OpenSSH_4.4 NetBSD_Secure_Shell-20061114, OpenSSL 0.9.8e 23 Feb 2007 Bad escape character 'rsion'.これでは多分 chroot の機能はない。そこで /usr/pkgsrc/security/openssh を make package する。これで、次のように 5.0 が入る。 ttyp2:makoto@hostname 10:31:36/080830(~)> ssh -v OpenSSH_5.0p1, OpenSSL 0.9.8e 23 Feb 2007起動用の手続を写す: cp /usr/pkg/share/examples/rc.d/sshd /etc/rc.d/sshd設定は /usr/pkg/etc/ssh/sshd_config に行なう。 その後起動した場合に、もし以前の /etc/ssh/sshd_config が残っていると、それを知らせる 表示が出るので、消すか、名前を変えておく。 この後は、その sshd_config に ChrootDirectory /export/ssh/chrootのような設定をすれば良い。このディレクトリは / からの全ての枝で root 所有 にし、group writable は無にしておく必要がある。 特定の userid だけを chroot にしたい時には Match User hoge ChrootDirectory /export/ssh/chroot Match User foo ChrootDirectory /export/ssh/chrootのようにして上書きの設定が可能。一致の条件には User だけ でなく Group, Host, Address なども使える。 実はここから先が少し大変。 ChrootDirectory で指定した先には
@ rssh:
pkgsrc/shells/rssh/DESCR には次のように書いてある。
Rssh is a restricted shell for use with OpenSSH, allowing only scp and/or sftp. For example, if you have a server which you only want to allow users to copy files off of via scp, without providing shell access, you can use rssh to do that.shell の設定は「本来の passwd と chroot の両方に設定する」 rssh は /usr/pkg/etc/rssh.conf に設定が必要。安易には次の五つを 有効にすれば良い ? allowscp allowsftp allowcvs allowrdist allowrsync( 上記の chroot の設定をしているとこれだけでは公開鍵を読んでくれない ?)。 rssh は chroot のない openssh のためのものの気もする。 rssh を使うくらいなら openssh 側には chroot は要らない ?
何故 shell にこだわるかと言うと ls くらいは使えた方がいいかな
と思っているから。 @ readonly にしておけば良い ?:「どこからか実行形式を写して来て自分の directory に置いて実行」 を防ぐと書いたが、これは scp で写すことを想定している。実際 scp -p を使えば、実行形式を写すことは可能だけれど、 ~/ を dr--r--r-- にしておけば良いのではないかな ? ( /tmp も Read Only にしておく必要がある) でもそうすると管理者側が書くの が少し面倒だから union_mount で上に R/O を被せておく ? @ Match Group って動くのかな:
何とはなく sshd_config の
Match Group が動かない気がする
(以下 2011/03/20 追記) ( つっこみ )
|
最近の日記 2024年07月03日 ・kicad oddity 2024年05月08日 ・comparison on ./buildsh tools 2024年05月06日 ・py-setuptools (python 3.11.9) ・make release took 1 hours and 10 min ・qemu invocation for 10.99.10 2024年05月05日 ・Windows 10 version ・serial connection ・bc bench 2024年05月04日 ・Trial on 10.99.10 ・another version (later trial) to succeed | ||