Por que as pessoas ainda usam jail SFTP com base no chroot SSH em vez de nos recursos de namespace do Systemd? [fechadas]

Question

Por que as pessoas ainda usam jail SFTP com base no chroot SSH em vez de nos recursos de namespace do Systemd? [fechadas]

#1 resposta do (0 votos)

1

A ideia pode ser estúpida ou não é viável, eu não sei, mas não consigo encontrar nenhuma referência sobre isso ...

Como você deve saber (e como o SE definitivamente sabe!), uma das etapas comuns usadas para aumentar a segurança do SSH, desde que o acesso a arquivos seja suficiente, é travar o usuário em um chroot. O OpenSSH tem fornecido uma prisão baseada em chroot há anos.

No entanto, essa abordagem carece de flexibilidade (tudo ou nada, apenas SFTP, etc.) e se resume a abusar de uma chamada de sistema (que tem implicações de segurança, daí a "prisão deve ser de propriedade" e outras recomendações raramente entendido).

Agora que o OpenSSH é fornecido como sshd.socket e [email protected] , sou tentado a usar o namespace do Linux (que eu obtenho de graça então) para restringir meus usuários.

Eu sou apenas muito surpresa por não ter encontrado literalmente nada sobre esse esquema alternativo. Então, minha pergunta é: existe alguma razão para não usar namespaces em vez de chroot para esse tipo de uso?

openssh chroot systemd namespace

por Eddy 15.08.2017 / 16:10

1 resposta

Tags openssh chroot systemd namespace

Linux Mint iniciando no modo de emergência transparência do painel MATE

score 0 · Accepted Answer

Você deve tentar isso e relatar como funciona. Em tudo, tem alguém primeiro!

Mas minha preocupação é que isso não funcionaria. O chroot do OpenSSH é chamado depois de toda troca de chaves, autenticação e tudo é feito, mas o Systemd forçaria os namespaces antes mesmo de iniciar o processo sshd (se eu entendi seu comportamento corretamente) e pode não ser capaz de processar o usuário autenticação. Também no arquivo de serviço, você não é capaz de diferenciar os usuários que se conectam, assim você classificaria todos eles? Como você se conectaria como usuário administrador normal para manter esse sistema? Eu acredito que é certamente uma boa idéia e útil para outros serviços, mas eu não acredito que você seria capaz de "abusar" (de graça) para atender às suas necessidades para o OpenSSH.