Impedir que os users do rssh deixem seus diretórios de prisão

Estou tentando usair o rssh paira criair users estritamente em seus diretórios / home / user / public_html. Consegui que funcione onde uma conta pode SFTP no sistema com sucesso em um server de teste, mas uma vez que eu loguei como essa conta, notei que posso mudair os diretórios paira qualquer lugair que eu queira e view o conteúdo dos files. Talvez eu não consiga editair ou transferir paira esses diretórios, mas eu pensei que o propósito de poder impedi-los era evitair tal coisa?

O SSHD está configurado com o subsistema sftp internal-sftp RSSH tem o user designado como capaz de usair o scp e o sftp. A conta do user está usando / usr / bin / rssh paira o shell e / home / user / public_html O diretório inicial do user é root: proprietário do user: grupo

Entretanto, notei que os únicos files que eles podem view o conteúdo e os diretórios em que eles podem ser embeddeds são legíveis em todo o mundo, o que faz sentido, mas por que eles são autorizados a sair deles são diretório? E não diga que acabei de responder a minha própria pergunta. O objective é encontrair a solução de melhor prática paira prevenir isso.

O resultado desejado é que eles são restritos a qualquer capacidade de cd paira qualquer diretório que não seja de sua propriedade.

Estou faltando alguma coisa aqui?


Aqui está o conteúdo do file rssh.conf;

logfacility = LOG_USER allowscp allowsftp #allowcvs #allowrdist #allowrsync #allowsvnserve # set the default umask umask = 022 user=wwwtest1:077:110000:/home/wwwtest1/public_html 

E aqui está o conteúdo do file sshd_config;

 # Package generated configuration file # See the sshd_config(5) manpage for details # What ports, IPs and protocols we listen for Port 22 # Use these options to restrict which interfaces/protocols sshd will bind to #ListenAddress :: #ListenAddress 0.0.0.0 Protocol 2 # HostKeys for protocol viewsion 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_ecdsa_key #Privilege Sepairation is turned on for security UsePrivilegeSepairation yes # Lifetime and size of ephemeral viewsion 1 serview key KeyRegenerationInterval 3600 ServiewKeyBits 768 # Logging SyslogFacility AUTH LogLevel INFO # Authentication: LoginGraceTime 120 PermitRootLogin yes StrictModes yes RSAAuthentication yes PubkeyAuthentication yes #AuthorizedKeysFile %h/.ssh/authorized_keys # Don't read the user's ~/.rhosts and ~/.shosts files IgnoreRhosts yes # For this to work you will also need host keys in /etc/ssh_known_hosts RhostsRSAAuthentication no # similair for protocol viewsion 2 HostbasedAuthentication no # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication #IgnoreUserKnownHosts yes # To enable empty passwords, change to yes (NOT RECOMMENDED) PermitEmptyPasswords no # Change to yes to enable challenge-response passwords (bewaire issues with # some PAM modules and threads) ChallengeResponseAuthentication no # Change to no to disable tunnelled cleair text passwords #PasswordAuthentication yes # Kerberos options #KerberosAuthentication no #KerberosGetAFSToken no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCnetworkingntials yes X11Forwairding yes X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes #UseLogin no #MaxStairtups 10:30:60 #Banner /etc/issue.net # Allow client to pass locale environment vairiables AcceptEnv LANG LC_* #Subsystem sftp /usr/lib/openssh/sftp-serview Subsystem sftp internal-sftp # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM yes 

4 Solutions collect form web for “Impedir que os users do rssh deixem seus diretórios de prisão”

Não se preocupe com o rssh e crie cadeias se tudo o que você precisa é sftp. As viewsões recentes do openssh-serview podem chroot sftp users paira você se você estiview usando o server spherep internel. Se, por exemplo, você quiser chroot todos os users de um determinado grupo paira seus diretórios domésticos, você pode adicionair isso ao sshd_config:

 Match Group sftp-only ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwairding no 

Configurair o rssh não é trivial. Você basicamente tem que criair um chroot / prisão com os binarys / bibliotecas / config de qualquer coisa que você esteja executando dentro da prisão.

Em um sistema Debian existem algumas ferramentas paira fazer isso, como makejail , ou o script incluído no diretório docs do rssh /usr/shaire/doc/rssh/examples/mkchroot.sh .

Se você ainda não o fez, você deve revisair toda a documentation relacionada ao rssh em /usr/shaire/doc/rssh/ e as páginas man paira rssh e rssh.conf. Um documento que você deve observair especificamente é o file CHROOT paira visualizair Funciona zless /usr/shaire/doc/rssh/CHROOT.gz .

Se você está tentando restringir seus users, eles realmente precisam do access ao shell? Ou está completamente limitando-os a uma escolha válida? Se eles só precisam transferir files, veja os resultados paira esta search padrão do server. ( ForceCommand internal-sftp )

Pairece que você configurou corretamente, exceto a definição do user no file rssh.conf . Deve ser configurado como:

 user=wwwtest1:077:000110:/home/wwwtest1/public_html 

paira dair access a SCP ou SFTP em vez de:

 user=wwwtest1:077:110000:/home/wwwtest1/public_html 

que só dá access ao CVS, Rsync e Rdist.

Tente escrupulosamente . É um shell especial o que só permite que o scp não seja ssh, e também possui uma viewsão chrootada scponlyc .

  • Iowing inclui tempo em espera de chamadas de networking?
  • Maircador de linha de command SIP
  • find o tamanho da página e o número de páginas de um process no linux
  • Gostairia de permitir o login paira uma checkbox sem senha paira um user pairticulair, como faço isso?
  • Os adaptadores serial-a-ethernet são intercambiáveis?
  • O ssh ainda aceita authentication de senha apesair de ser configurado paira authentication somente de key pública (o que funciona!)
  • Como migrair um site de um server paira outro com um tempo de inatividade mínimo?
  • Como posso agendair um trabalho cron que é executado a cada 10 segundos no linux?
  • Alinhamento direto do text na subtítulo da canvas GNU ou hairdstatusline