NetBSD 絹の日記 ssh を chroot 環境にする

ssh で入った先の環境を chroot にして利用を制限する場合がある。以前は openssh に patch を当てる必要があったが 4.9 辺りから機能が組込まれたようだ。例えば NetBSD/4.0 だと、おそらく、次の版が入っている。

ttyqc:makoto@genova 10:06:55/080830(...wip/cygwin-gcc)> ssh -version
OpenSSH_4.4 NetBSD_Secure_Shell-20061114, OpenSSL 0.9.8e 23 Feb 2007
Bad escape character 'rsion'.

これでは多分 chroot の機能はない。そこで /usr/pkgsrc/security/openssh を make package する。これで、次のように 5.0 が入る。

ttyp2:makoto@hostname  10:31:36/080830(~)> ssh -v
OpenSSH_5.0p1, OpenSSL 0.9.8e 23 Feb 2007

起動用の手続を写す:

cp /usr/pkg/share/examples/rc.d/sshd /etc/rc.d/sshd

設定は /usr/pkg/etc/ssh/sshd_config に行なう。その後起動した場合に、もし以前の /etc/ssh/sshd_config が残っていると、それを知らせる表示が出るので、消すか、名前を変えておく。この後は、その sshd_config に

ChrootDirectory /export/ssh/chroot

のような設定をすれば良い。このディレクトリは / からの全ての枝で root 所有にし、group writable は無にしておく必要がある。

特定の userid だけを chroot にしたい時には

Match User hoge
        ChrootDirectory /export/ssh/chroot
Match User foo
        ChrootDirectory /export/ssh/chroot

のようにして上書きの設定が可能。一致の条件には User だけでなく Group, Host, Address なども使える。実はここから先が少し大変。 ChrootDirectory で指定した先には

多分 scp は最低必要 (shell 無で scp のみ許す場合)
shell を許すなら /bin/sh 等が必要
上のものが shared library を必要とするなら、それらと ld.elf_so が必要 (usr/lib/ld.elf_so)。安易に、全て置けば、ということで /etc/fstab に次のように書いて見る
```
/usr/lib        /export/ssh/chroot/usr/lib      null    ro
/lib            /export/ssh/chroot/lib          null    ro
#libexec        /export/ssh/chroot/libexec      null    ro
```
(実はまだ再起動していないのでこれらで良いか未確認) libexec は ld.elf_so だけで良い。
passwd 関係も必要
```
vipw -d /export/ssh/chroot
```
のようにして作成。userid については本来の環境と chroot の両方に必要で、例えば home については本来の環境の方にも同じことを書いておく必要がある
etc/nsswitch.conf が必要なので写しておく
etc/group を (passwd から参照している) 必要行だけを書いて作成

dev/null が必要なので作っておく

mkdir dev; mknod dev/null c 2 2;chmod 666 dev/null

home も当然それなりに必要 (例えば home/user/.ssh)

「どこからか実行形式を写して来て自分の directory に置いて実行」を防ぐ方法は ? .. やはり shell は禁止するか rssh (restricted shell) を使うべき ? ... 既に chroot しているのだから何を実行されてもいいという気もするけれど。

＠ rssh:

pkgsrc/shells/rssh/DESCR には次のように書いてある。

Rssh is a restricted shell for use with OpenSSH, allowing only scp and/or sftp. For example, if you have a server which you only want to allow users to copy files off of via scp, without providing shell access, you can use rssh to do that.

shell の設定は「本来の passwd と chroot の両方に設定する」

rssh は /usr/pkg/etc/rssh.conf に設定が必要。安易には次の五つを有効にすれば良い ?

allowscp
allowsftp
allowcvs
allowrdist
allowrsync

( 上記の chroot の設定をしているとこれだけでは公開鍵を読んでくれない ?)。 rssh は chroot のない openssh のためのものの気もする。 rssh を使うくらいなら openssh 側には chroot は要らない ?

何故 shell にこだわるかと言うと ls くらいは使えた方がいいかなと思っているから。
(という訳は現在は rssh は使わない方向で考えている)

＠ readonly にしておけば良い ?:

「どこからか実行形式を写して来て自分の directory に置いて実行」を防ぐ

と書いたが、これは scp で写すことを想定している。実際 scp -p を使えば、実行形式を写すことは可能だけれど、 ~/ を dr--r--r-- にしておけば良いのではないかな ? ( /tmp も Read Only にしておく必要がある) でもそうすると管理者側が書くのが少し面倒だから union_mount で上に R/O を被せておく ?

＠ Match Group って動くのかな:

何とはなく sshd_config の Match Group が動かない気がする

(以下 2011/03/20 追記)
chroot on netbsd5

2008年08月28日(木) 旧暦 [n年日記] [更新:"2011/03/20 21:41:01"]

#1 [NetBSD] ssh を chroot 環境にする

＠ rssh:

＠ readonly にしておけば良い ?:

＠ Match Group って動くのかな: