Ограниченный shell?

Question

[Lisio]

Какими средствами у хостеров производится закрытие пользователя в его домашней директории при доступе через ssh? Chroot, rbash или как-то еще?


Хочу понять, как заблокировать 100 пользователей в домашней директории без возможности видеть директории других пользователей и без возможности запускать бинарники.

Answer 1

[Илья Плотников]

в timeweb я мог просматривать конфигурационные файлы. Возможность появлялась так: cd… && cd…
Я писал в саппорт, что у них дыра, но они ответили, что полностью закрыть доступ не получится. Важные конфиги были недоступны для чтения.

Comments

[Андрей Буров]

это не дыра, это нормально.

Answer 2

[Андрей Буров]

делайте /home на отдельном разделе и монтируйте его с noexec
chmod 750 /home /home/*

Comments

[Lisio]

Пользователь сможет увидеть список других пользователей, это нехорошо.

[Андрей Буров]

храните список юзеров в mysql или ldap или еще где

[Lisio]

Как это должно выглядеть применительно к сабжу?

Answer 3

[ertaquo]

http://www.opennet.ru/opennews/art.shtml?num=14331
http://www.opennet.ru/base/sec/ssh_chroot.txt.html
Не?

Comments

[Lisio]

Почти оно. Правда уже давно не надо патчить ssh-сервер. Но у меня пока остается проблема, как скрыть от одних пользователей факт наличия других.
Пока что единственное решение, которое вижу, создавать раздел в файле, монтировать его с noexec, nosuid и чрутить туда. Но если один юзверь захочет увеличить дисковую квоту, что тогда?

[ertaquo]

Может создать для каждого пользователя не виртуальную ФС в файле, а отдельную директорию, в которую он будет chroot'иться, и назначить квоту конкретно для этого пользователя средствами линукса? Раз, два, три

[ertaquo]

И опять-таки, как один пользователь сможет получить информацию о других, если он будет в chroot'е и не будет иметь доступа к командам или файлам, которые могут вывести список пользователей?

[Lisio]

На отдельную директорию не получится, т.к. noexec указывается при монтировании.
Если делать окружение в /chroot и хранить папку пользователя в /chroot/home/%u, то после chroot'a он будет видеть все что есть в /chroot/*, он элементарно сможет сделать ls -l /home и увидит директории всех пользователей. Да, зайти в них и что-то сделать с ними он не сможет, но он не должен их видеть.

[ertaquo]

А разве он увидит не /chroot/home/%u/home?
На крайняк, можно монтировать файл с ФС, а при желании увеличить квоту — увеличить размер файла через dd и затем увеличить размер ФС внутри, не?

[Lisio]

В том-то и проблема, что он увидит все, что идет от /chroot. Иначе как бы он мог запустить сам шелл.
В целом да, идея c dd и подгонкой фс внутри нее выглядит как более-менее приемлемая. В дополнение к ней я еще рассматриваю lvm (пока еще не приходилось использовать).

Answer 4

[pomeo]

пихайте их в контейнеры lxc.sourceforge.net/

Answer 5

[charon]

фтп-сервер чрутится нормально в домашний каталог, тут даже не о чём писать.
Что касается ssh, то во Фре для этого есть jail, в современных версиях OpenSSH из коробки хорошо работает chroot — надёжно закрывает в домашнем каталоге