chroot ssh konfigurieren

garciam · Beitrag von **garciam** » 23.06.2005 18:30:03

Hallo

Ich versuche einen chroot zu erstellen, nach diesem HowTo das ich hier gefunden habe. Wenn ich aber #su peon eingebe, bekomme ich nur #Sorry als antwort.

Beim Versuch, einen zweiten Benutzer anzulegen bekomme ich bei der eingabe von #tester

1004:1004::/tmp:/bin/chroot-shell folgende Meldung:
-bash: tester

1004:1004::/tmp:/bin/chroot-shell: Datei oder Verzeichnis nicht gefunden.
Der Eintrag wird aber ins passwd File geschrieben.

Mir ist nun nicht ganz klar was diese :/tmp:/bin/chroot-shell: bedeutet. Das sind ja zwei Pfade, oder wie ist das zu interpretieren? Also /tmp, wie auch /bin/chroot-shell sind auf dem System vorhanden.

Danke!

Beitrag von **blackm** » 23.06.2005 18:49:35

Hi.

ich habe das auch mal nach der Anleitund versucht, bin aber immer gescheiter. Habe es dann aufgegeben und bin auf rssh umgestiegen (wollte eigentlich nur scp haben).

Hast du

NOTE: at least with Slackware, for some reason the library /lib/libnss_compat.so.2 is not listed as a required lib for su, but it IS needed!

mal versucht?

by, Martin

garciam · Beitrag von **garciam** » 23.06.2005 19:05:50

Folgende Ausgabe bekomme ich:

Code: Alles auswählen

# ldd /bin/su
        libpam.so.0 => /lib/libpam.so.0 (0x009eb000)
        libpam_misc.so.0 => /lib/libpam_misc.so.0 (0x00eb2000)
        libcrypt.so.1 => /lib/libcrypt.so.1 (0x00a90000)
        libdl.so.2 => /lib/libdl.so.2 (0x0089b000)
        libc.so.6 => /lib/tls/libc.so.6 (0x0040f000)
        liblaus.so.1 => /lib/liblaus.so.1 (0x00111000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x00d49000)

Die libnss_compat.so.2 fehlt. Ich habe diese nun mal nach /home/peon/lib kopiert, oder was muss nun machen? In der Anleitung steht was von build a new su binary... oh nein!

Was ist denn rssh? Ist das einfach zu konfigurieren und hast du ein HowTo dazu? Ich brauche einfach einen chroot, sftp, ssh. Mit was das gemacht ist wäre mir eigentlich egal.

Gruss

garciam · Beitrag von **garciam** » 23.06.2005 19:16:33

Aha, Augen auf, das steht was von coreutils, versuche das mal.

garciam · Beitrag von **garciam** » 23.06.2005 19:59:15

Ooohh nein!!! Nun kann ich coreutils nicht kompilieren.
checking for C compiler default output... configure: error: C compiler cannot create executables
Wer weiss was das soll? Die config.log habe ich angeschaut, jedoch kann ich dort nichts brauchbares herauslesen.

garciam · Beitrag von **garciam** » 23.06.2005 20:12:52

coreutils konnte ich nun kompilieren, es fehlte libc6-dev.

garciam · Beitrag von **garciam** » 23.06.2005 20:38:31

Nach dem Kompilieren soll man das su kopieren, oder das alte ersetzen, oder so was.
In folgenden Verzeichnissen habe ich su kopiert.
/usr/local/bin/su
/etc/pam.d/su
/bin/su

Ich habe nun mal alle su ersetzt. Nun wird der User nicht mehr erkannt und bei ldd /bin/su erscheint libnss_compat.so.2 immer noch nicht.

Weiss da jemand wie es genau funktioniert?

Rebell · Beitrag von **Rebell** » 16.10.2005 17:32:53

Ich hab da auch mal ne Frage.

Ich möchte dass Benutzer "heins", wenn er sich via SSH einloggt in seinem Homeverzeichnis landet, und niemals darüber darf. D.h. / niemals zu Gesicht bekommt. Das ist doch der Sinn von Chroot, oder wie mach ich das? Ist das sehr umständlich?

startx · Beitrag von **startx** » 17.10.2005 16:54:04

Das ist doch der Sinn von Chroot, oder wie mach ich das? Ist das sehr umständlich?

ja ist es!

d.h. allerdings:

1) es kommt darauf an was du willst was dieser user da machen soll.
wenn er nur dateien umbenennen, kopieren, chown, chmod und ein paar dinge tun soll, dann benutzt scponlyc (scponly im chroot). (-> google oder forum durchsuchen)

2) schau die mal "restricted bash" an.

3) ein wirkliches chroot für user ist unter linux sehr schwierig bis garnicht herzustellen - anders als z.b. unter freebsd - leider, (siehe z.B. grsecurity), ich benutze es auch nicht (brauch es z.Z. auch nicht). es gibt verschiedene ansätze und patches, die sind aber so komplex dass du vieleicht mit dem einrichten eines vservers besser bedient bist.

Rebell · Beitrag von **Rebell** » 17.10.2005 17:07:27

Nein nein, nicht so wild. Das klingt zwar genau nach dem was ich will, aber professioneller.

Kurz umschrieben: Ich stelle Dateien zum Download zur Verfügung, mit denen sich die Leute via Benutzername und PW über SSH anmelden können (einige FTP-Programme können das).
Dabei haben die aber die Möglichkeit in tieferen Pfaden rumzustöbern außer ihrem Home, das möchte ich unterbinden.

Beispiel: Viele FTP-Server mit anonymen Zugang, habe eine andere Wurzel als / - darüber dürfen die also nicht hinaus.

ICh weiß nicht, ob Anmeldevorgänge mit scponly möglich sind, wobei die natürlich auch Dateien lesen, schreiben, löschen und chmodden dürfen sollten, wie ein normaler SSH-Zugang nur eben mit ~ als /.

startx · Beitrag von **startx** » 17.10.2005 17:35:49

ICh weiß nicht, ob Anmeldevorgänge mit scponly möglich sind, wobei die natürlich auch

scponlyc bietet im grunde alle funktionen von ftp, nur eben mit ssl verschlüsselung, d.h. scp und sftp.

diese sind dienste von ssh, d.h. du brauchst keinen ftp server dafür (hat nix mit ftp zu tun, auch wenn viele ftp clients sftp unterstützen und die arbeit damit genauso funktioniert.) es benutzt deshalb auch den gleichen authentifizierungsvorgang wie bei ssh.

(technisch ist scponlyc eine shell, die auch in der /etc/passwd eingetragen wird)

scponly und scponlyc unterscheiden sich halt darin (wie das "c" am ende vermuten lassen"), dass letzteres ein chroot herstellt, also der user sein ~/ nicht verlassen kann.
(oder welchen root directory auch immer)

das von blackm oben erwähnte rssh biete im grunde dasselbe, wo der genauer unterschied liegt weiss ich nicht (würd mich aber interessieren).