SSH & chroot

[maone]

Hallo!
Ich bin gerade dabei meinen Server neu aufzusetzen!
Wollte dabei gleich für alle User (ca 6) die Möglichkeit bereitstellen, dass sie sich über SSH einloggen können, um in ihrem "/home"-Bereich per Shell arbeiten zu können!
Hab schon viel in google gesucht wie man chroot verwirklich könnte.
Hab das Module"libpam-chroot" installiert.
Ich hab diverse Dateien kopiert und Einträge in Dateien hinzugefügt, was ich aus Tutorials herauslesen konnte.
Nur leider funktioniert es nicht!
Könnte mir bitte jemand Schritt für Schritt erklären wie ich chroot mit libpam-chroot verwirklichen kann?
Will als Anfang nur die Möglichkeit haben der SSH in seinem Verzeichnis die Ordner durchsuche...den Rest kann man dann noch erweitern!
Vielen Dank für eure Hilfe!

[startx]

ich verstehe dass so, dass du die user komplett trennen willst?
das wird niemals wirklich sicher hinhauen, linux ist fuer sowas von haus aus
nicht ausgelegt. (anders als z.b. jail mechanismus von freebsd)

wenn es dir darum geht dass user via ssh protokoll dateien hochladen koennen, dann benutzte
sowas wie scponlyc ( http://sublimation.org/scponly/wiki/index.php/Main_Page ) , wenn du wirklich
getrennten ssh zugriff haben willst ist vserver ein ansatz:

http://linux-vserver.org

[maone]

Genau...die User sollen komplett getrennt sein!
Aber laut einigen Funden bei Google haut das hin mit dem libpam-chroot?!

Edit:
Also eigentlich geht es mir nur um SSH-Zugriff!
Am lokalen Server meldet sich eh niemand an von denen!
Sie sollen Befehle wie "cp, vi, mkdir, rm" usw verwenden können...aber nur in ihrem Bereich!
V-Server ist dafür glaub ich bissl übertrieben, oder?

[CrashMan]

nunja, Daten bearbeiten können die ja nur in ihrem Bereich.
Und wenn du dann noch die Nutzerrechte der home-verzeichnisse auf 700 änderst, können die Nutzer auch nicht gegenseitig in die Verzeichnisse.

[maone]

Meinst du Standard-mäßig?`
Sie können aber durch su Root-Rechte erlangen!
Mit chroot ist sowas nicht möglich!

[DynaBlaster]

Die Sache mit dem "su" verstehe ich nichtso ganz. Um mit "su" Root-Rechte zu erlangen, muss man schon das zugehörige Passwort kennen. Ohne Root-Passwort auch keine Root-Rechte. Ein Chroot macht nur Sinn, wenn du z.B. verhindern willst/musst, dass deine User auf Konfigurationsdateien in /etc oder /var/log (usw.) lesend zugreifen können. Standardmässig verändern können "normale" User aber nix.
Von daher: einfach das Root-Passwort nicht verraten und alles ist gut.

[maone]

Ein Password kann man knacken...wenn man "su" nicht ausführen kann geht überhaupt nichts!
Ich will das kein User woanders zugreifen kann als auf seinen /home-Bereich...und dort soll er auch nur bestimmte Befehle verwenden können!

[startx]

Von daher: einfach das Root-Passwort nicht verraten und alles ist gut.

nein, nichts ist leider gut. solange ssh nicht eingeschraenkt ist kannst du in der regel ne ganze menge
mitlesen, wenn auch nicht veraendern, z.b. die datein anderer user

[TRex]

Wenn du ein sicheres Passwort wie j8s8u%$5g()j9/&&gh~~+78 (Paranoia Modus) benutzt, knackt keiner das Passwort (zumindest nicht bis zur Einführung von Quantencomputern).

[maone]

Ich will das es keine Möglichkeit gibt für den User als ein paar Befehle in seinem /home auszuführen!

[DynaBlaster]

@maone

Ok, das kann ich durchaus nachvollziehen. Nach dieser Anleitung hier: http://www.howtoforge.com/chroot_ssh_sftp_debian_etch scheint es aber nicht zu reichen, einfach nur das Modul "libpam-chroot" zu installieren. So wie es aussieht, ist der Debian-Standard-SSHD ohne die Unterstützung für dieses Modul kompiliert worden. Deshalb wirst du wohl nicht umhinkommen, den SSH-Daemon selbst zu kompilieren ...

Jerdenfalls habe ich das so verstanden.

[maone]

Über PAM kann man das Modul ja reinladen und es wird sofort nach der Anmeldung aktiv!

[DynaBlaster]

Stimmt. Habe nach eigener Recherche auch herausgefunden, dass das Modul eigentlich reichen sollte: http://www.debian.org/doc/manuals/secur ... nv.de.html

Habe kein chroot im Einsatz, aber kannst du ausschließen, dass es sich um die im Howto beschriebene Rechteproblematik beim Aufruf von chroot durch den sshd handelt? Stolperfallen scheint es ja viele zu geben. Ich weiss, dass hilft dir jetzt nicht wirklich weiter, aber deine Fehlerbeschreibung ("geht nicht") ist auch ziemlich dürftig - du solltest das Problem näher eingrenzen, sonst stochern auch die Spezialisten hier im Forum ziemlich im Dunkeln ...

[ThorstenS]

Ich mache das wie hier beschrieben und bin zufrieden damit.

[startx]

Ich mache das wie hier beschrieben und bin zufrieden damit.

dafuer gibt es scponly (bzw scponlyc) und scpjailer bereits fix und fertig auch in debian.

ich verstehe maone aber so dass er wesentlich mehr rechte an die user vergeben will als
scp/sftp (editoren etc). mir ist niemand bekannt der das nur mit chroot/ssh in einer produktionsumgehbung
einsetzt. alan cox hat erst kuerzlich nochmal vor der benutzung von chroot als sicherheitstool gewarnt.
( http://kerneltrap.org/Linux/Abusing_chroot )

genau aus diesem grund sind in den letzten jahren context-bezogene loesungen entstanden
wie linux-vserver, bei denen nicht nur sshd (und anderes) innerhalb einen verzeichnisbaums ausgefuehrt wird,
sondern in einem anderen context laeuft. ("Each partition is called a security context, and the virtualized system within it is the virtual private server. ")

[maone]

Aber kann ich den VServer auch nur auf paar Befehle beschränken?
Ich verstehe unter VServer sowas wie eine VMWare-Maschine!

[startx]

Ich verstehe unter VServer sowas wie eine VMWare-Maschine!

nein, ist es nicht.

http://en.wikipedia.org/wiki/Linux-VServer

was genau sollen deine user denn machen koennen?

[maone]

Befehle wie "cp, mkdir, rm, ls, pw" und sie sollten php-Files ausführen können!
Auf dem Server wie er bis jetzt war musste ich für einen User einen DB-Dump per php-File eines Wikis per SSH durchführen, möchte das das alle selbst machen können wenn sie wollen!

[startx]

Befehle wie "cp, mkdir, rm, ls, pw" und sie sollten php-Files ausführen können!

cp, mkdir, rm, ls, pwd gehen auch mit scponlyc.

gibt es fuer die dumps keine andere loesung, wie z.b. regemaessige dumps via cron script die sich die
user dann abholen koennen?

[maone]

Dump war ja nur ein Beispiel!
Ich will dem User soviel Freiheit wie möglich geben...aber trotzdem alles absichern!
VServer werd ich mir mal näher ansehen!
Es wird sicher noch mehr nützliche Befehle geben, die ein User verwenden könnte oder?

Edit: mysql sollte auch per ssh bedienbar sein!

[ckoepp]

Na dann mach es doch anders: alle User kommen in eine spezielle Gruppe und bekommen nur Zugriff auf /cuser und in diesem Verzeichnis liegen links zu den Programmen die sie brauchen /cuser/pwd -> /bin/pwd usw.
Ist etwas Arbeit, aber alles andere wäre ein "Overload" an Funktionen. Für die paar Grundbefehle reicht aber eh - wie gesagt - scp normal wirklich aus.

mysql kann man per SSH aber eben auch per Remote-Konsole nutzen
Dazu brauchste keinen SSH Zugang...

Ich hoffe für dich du hast wirklich nen guten Grund für dein Vorgehen. Nur weils "cool" ist nen SSH-Zugang zu haben, den letztendlich eh keiner nutzt (...sei mal ehrlich, wer brauch das von den Standard-PHP-Usern schon?).

Und wenn PHP ins Spiel kommt wirds nicht einfacher, da solltest du eh den harden-Patch einspielen

[maone]

Danke für eure Hilfe...ich glaub ich werde jetzt mal den Server so aufsetzen ohne SSH für jeden, und werde da zuerst einiges an einer VMWare-Maschine testen!