A maneira preferida de criar um chroot ao criar um sub-grupo de usuários ao efetuar login com o SSH?

Navegue suas respostas
2

Ao usar libpam-chroot, é possível chroot o subconjunto de usuários com bastante facilidade com base em um nome de usuário quando o usuário está registrando com o SSH.

O que é uma boa maneira de criar esta configuração chroot e libpam-chroot? Um dos meus objetivos é que os usuários chrooted são conhecidos apenas no ambiente chroot (sem senhas ou qualquer coisa que fosse armazenada fora do chroot). Em minha configuração anterior, precisei atualizar manualmente as senhas dos usuários entre /etc/shadow e /var/my_chroot/etc/shadow . Isso é possível?

Ou existe uma maneira completamente diferente de obter esse tipo de subsistema sem a necessidade de um outro computador (virtual) completamente diferente (não tenho hardware sobressalente para oferecer e tenho somente uma interface de rede)? Ou a virtualização é a resposta correta afinal?

    
por Joni 01.10.2010 / 20:59

1 resposta

2

Verifique se você tem UsePAM yes em /etc/ssh/sshd_config e configure um módulo PAM que lê um banco de dados do usuário de um local dentro do chroot. Não há uma maneira fácil de fazer pam_unix ler arquivos passwd e shadow diferentes, mas você pode usar pam_ldap e executar um servidor LDAP dentro do chroot (ou melhor ainda, fora do chroot, armazenando seus dados em algum lugar /var ).

Quanto a usar a virtualização, isso depende do que você espera do chrooting. Não fornece muita segurança contra um usuário com acesso ao shell. Por exemplo, um buraco raiz local dá acesso total a toda a máquina; usuários locais podem bisbilhotar um pouco fora do chroot, cutucando dentro de /proc ; portas de rede usadas dentro do chroot não estão disponíveis no exterior; ...

    
por 01.10.2010 / 23:34

Tags

Como configuro o Windows Explorer no Windows 7 para exibir metadados / tags de arquivos Ogg Vorbis (.OGG) quando na exibição 'Detalhes'? Lotus Notes 8 Client - O cliente não será recarregado após o travamento