Как закрыть пользователя в его папке, chroot (CentOS)?

Question

[nepster-web]

Задача такая, есть папка home/black_jack и при заходе по ssh black_jack не должен выходить за пределы свой папки user.

Конфигурация sshd

Subsystem sftp internal-sftp
Match User black_jack
ChrootDirectory /home/black_jack
ForceCommand internal-sftp
AllowTCPForwarding no
X11Forwarding no

по мануалу дал владельца рут для папки
chown root /home/black_jack

При входе через патти, вываливается сессия. Логи:

Feb  6 17:52:02 mj257 sshd[8480]: Received signal 15; terminating.
Feb  6 17:52:02 mj257 sshd[8653]: Server listening on 0.0.0.0 port 22.
Feb  6 17:52:02 mj257 sshd[8653]: Server listening on :: port 22.
Feb  6 17:52:33 mj257 sshd[8655]: Accepted password for black_jack from IP port 52808 ssh2
Feb  6 17:52:33 mj257 sshd[8655]: pam_unix(sshd:session): session opened for user black_jack by (uid=0)
Feb  6 17:52:33 mj257 sshd[8658]: error: /dev/pts/3: No such file or directory
Feb  6 17:52:33 mj257 sshd[8658]: error: open /dev/tty failed - could not set controlling tty: No such file or directory
Feb  6 17:52:33 mj257 sshd[8655]: pam_unix(sshd:session): session closed for user black_jack

Подскажите в чем проблема?

Answer 1

[kenny_opennix]

Feb  6 17:52:33 mj257 sshd[8658]: error: /dev/pts/3: No such file or directory
Feb  6 17:52:33 mj257 sshd[8658]: error: open /dev/tty failed - could not set controlling tty: No such file or directory

существуют?

Comments

[nepster-web]

хм нет. В /dev/pts/ нет файла 3

Попробовал создать и получил (права 777):
Permission denied.
Error code: 3
Error message from server: Permission denied

[kenny_opennix]

mkdir -p dev/pts
chmod 755 dev/pts
mknod -m 666 dev/tty c 5 0
mknod -m 666 dev/ptmx c 5 2

[nepster-web]

Вроде ничего не поменялось

Answer 2

[Влад Животнев]

Человека по ssh нельзя запереть в chroot-е.
Например, чтобы залогиниться ему нужно запустить файл /bin/bash. А внутри чрута такого файла нет. Как и всех библиотек.

Вам нужен jailkit - оно немного о другом, но задачу свою выполните.

Comments

[nepster-web]

Подскажите пожалуйста как переименовать "I have no name"

[Влад Животнев]

@nepster09 /etc/hosts и /etc/hostname внутрь джейла скопировать.

[Влад Животнев]

@nepster09 а если вы про имя логина - то про /etc/passwd читайте. Внутри джейла в /etc/passwd должен быть сам пользователь и рут.

[kenny_opennix]

Можно, если правильно пролинковать.
corafamily.net/wiki5/Chrooting%20SSH%20in%20OpenBSD
Я делал по вот этому ману в свое время
forums.gentoo.org/viewtopic-t-698685-start-0.html

[kenny_opennix]

wiki.gentoo.org/wiki/Chroot/ru

[Влад Животнев]

@kenny_opennix jaikit технически и есть chroot, только берет на себя всю автоматизацию по "засовыванию" пользователя в отдельный rootfs. Без кита придется отдельный sshd запускать внутри чрута.
Можно всё то же самое руками сделать внутри одного sshd, но немного задалбывает.

[Влад Животнев]

@kenny_opennix во втором мануале у вас описано, как пользователю вообще выключить ssh, а оставить только chrooted sftp.

В первом мануале предлагают запустить отдельный sshd на отдельном порту. Читать же нужно, что по ссылкам ;)

Answer 3

[Alexander Lebedev]

Почитайте по restricted shell, и rbash. Если кратко то пользователь не может выставлять некоторые переменные, не может сделать cd и может запускать только программы линки на которых у него в хоме. А по вопросу покажите ls -la /home
и если мои предположенияя верны вам все станет ясно.

Answer 4

[utz0r2]

Заходите через sftp (например winscp) а не putty