OpenSSH, usuário chroot: Root precisa possuir o diretório do usuário, existe alguma consequência?

Question

OpenSSH, usuário chroot: Root precisa possuir o diretório do usuário, existe alguma consequência?

#1 resposta do (3 votos)
#2 resposta do (1 votos)

2

Eu quero criar uma conta para meu amigo no meu computador, mas não quero que meu amigo possa visualizar todos os meus arquivos. Eu vi que com o OpenSSH, existe uma opção para isso.

Dentro do arquivo de configuração do SSHD:

/etc/ssh/sshd_config

Com a linha:

ChrootDirectory /home/%u

No entanto, o diretório inicial do usuário precisa pertencer a root . Isso é uma coisa ruim? Existem consequências ou repercussões se o administrador for o proprietário do diretório?

Eu marquei esta questão para 2 distribuições e FreeBSD, já que eu uso todas elas. Eu estou querendo saber se talvez o requisito de root possuir o diretório home do usuário será diferente entre distribuições e / ou SO.

openssh chroot debian ubuntu freebsd

por user1115057 21.04.2012 / 23:25

2 respostas

3

Você está entendendo mal o chroot ; não é simplesmente esconder coisas, esse diretório realmente se torna / para a sessão. Você precisa fornecer uma imagem do sistema razoavelmente completa ( /etc , /bin , /lib , etc.) abaixo dela, ou nada funcionará (em particular, o usuário não terá um shell para executar). root que precisa ter o novo / é uma conseqüência disso: qualquer outra pessoa que possua a raiz do sistema de arquivos seria um problema de segurança óbvio.

por 21.04.2012 / 23:32

Tags openssh chroot debian ubuntu freebsd

Migrando os arquivos de configuração do KDE Existe uma maneira de fazer o apt reportar quais pacotes em um dist-upgrade usarão espaço em disco adicional?

score 1 · Accepted Answer

Para responder à sua pergunta específica, root deve possuir o diretório inicial do usuário para que o chroot fornecido pelo SSHD funcione corretamente. Se o diretório inicial não for de propriedade de root , o usuário poderá sair do diretório quando se conectar por meio de sftp .

Não há desvantagem para root possuir o diretório de usuários se o usuário estiver se conectando apenas com sftp . No entanto, se o usuário também estiver conectando outra maneira (como ssh ) e receber um shell, use outra solução , como o shell restrito rssh .