Chrooted Ssh unter Lenny

[waza-ari]

Hallo Leute,

ich hätte eine Frage an euch Spezialisten:

Ich würde auf meinem Server gerne eine chrooted ssh installieren, wo sich ein Nutzer einloggen kann und Sachen wie ls, dir, rm usw ausführen kann. Des weiteren sollte er Zugriff auf das php-cli und den mysql Server haben. Außerdem soll er mit dem SVN Server auf der Bash arbeiten können.

Eingesetzt wird wie gesagt Debian Lenny (5.0) mit dem im Repo vorhandenen SSHd.

Hat jemand eine Idee dazu, oder noch besser ein Tutorial? Ob Englisch oder Deutsch ist mir egal.

Ich hoffe ihr könnt mir helfen.

Gruß

Daniel

[daemotron]

http://blog.schalanda.name/archives/154 ... enSSH.html

HTH

[waza-ari]

Danke für die schnelle Antwort. Mal wieder nicht richtig gesucht... :oops:

Welche Programme kann der User dann ausführen?

Würde das gerne auf die Standard-Tools ls, rm, cp, mv usw sowie php-cli, mysql und svn einschränken/erweitern.

Danke schonmal für weitere Anregungen

[rudelgurke]

Wenn das "force-command internal-sftp" so übernommen wird, gar keine außer den FTP Kommandos ;)

Sonst die Kommandos die auch in der chroot Umgebung sind. Wie üblich - weniger ist mehr

[waza-ari]

Das ForceCommands werde ich wohl nicht übernehmen. Dann ist ja kein SSH Zugriff mehr möglich.

Sagen wir, ich lasse das ForceCommands weg - damit hat der Benutzer Zugriff auf die Shell. Welche Befehle kann er denn ausführen?
Was muss denn alles in die Chroot Umgebung rein? Wirklich nur die Programme, die ich zusätzlich haben will? Wie sieht denn die Struktur dafür aus?

Danke schonmal und Gruß

[Roger Wilco]

Sagen wir, ich lasse das ForceCommands weg - damit hat der Benutzer Zugriff auf die Shell. Welche Befehle kann er denn ausführen?

Alle Programme, die du in seine chroot-Umgebung packst.

Was muss denn alles in die Chroot Umgebung rein?

Alles, was der Benutzer ausführen können soll inklusive der benötigten Bibliotheken.

Wie sieht denn die Struktur dafür aus?

Wie im normalen System nach LSB auch. Also /bin, /sbin, /usr/bin, /usr/sbin, /lib, /usr/lib, ggf. einige Devices in /dev/ (typischerweise null, random, urandom) und ggf. einige Dateien in /var.
Alternativ kannst du die Programme selbst kompilieren und statisch linken sowie die Verzeichnisse, in denen diese gesucht werden anpassen.

Zur Vereinfachung gibt es diverse Skripte, z. B. http://www.jmcresearch.com/projects/jail/, http://chrootsafe.sourceforge.net/ oder http://olivier.sessink.nl/jailkit/

[daemotron]

Wenn Du es Dir ganz besonders einfach machen willst, erstelle mit debootstrap eine komplette Debian-Umgebung. Dieses Vorgehen ist aber umstritten. Auf der Haben-Seite steht ein einfach zu erstellendes und funktionierendes System, das einfach per aptitude aktuell gehalten werden kann. Kritiker dieses Vorgehens halten dagegen, dass eine vollständigere Umgebung mehr Werkzeuge bereithält, die zum Ausbruch verwendet werden können.

Beide Seiten haben irgendwie recht; eine nicht aktuell gehaltene Chroot-Umgebung ist mindestens ein ebenso großes Risiko wie eine Chroot-Umgebung, in der zu viel des Guten steckt. Meine persönliche Meinung an dieser Stelle: chroot hin oder her, das bringt eh alles nichts, so lange nicht eine entsprechend gehärtete chroot-Implementierung verwendet wird (entweder grsecurity oder rsbac). Setzt man die ein, kann man auch getrost per debootstrap eine Komplettumgebung erstellen - diese muss man dann aber eher als virtuelle Umgebung (OS-Level Virtualisierung a la jail) denn als chroot für einen einzelnen Dienst begreifen und auch entsprechend sicher konfigurieren.

[Joe User]

Ein abgespecktes statisches busybox und openssh reichen im chroot völlig aus...