OpenForum RSS: openssh + chroot дубль 2 https://www.opennet.dev/openforum/vsluhforumID1/84135.html Установил openssh 5.1p1. Но настроить не получилось чтобы пускала определенного пользователя и выполнялся chroot в определенную директорию.<br>В конфиг добавил следующие строки:<br><br>Subsystem sftp internal-sftp<br>Match User username<br>X11Forwarding no<br>AllowTcpForwarding no<br>ForceCommand internal-sftp<br>ChrootDirectory /home/userhome<br><br>При попытке зайти пишет:<br>"Connection to 1.2.3.4 closed by remote host.<br>Connection to 1.2.3.4 closed."<br><br>Если убрать строки из конфига, приведенные выше, то отлично пускает, но при этом, ясное дело, chroot не был выполнен, и как следствие можно уйти в корень, и куда хочется.<br><br>Может кто с талкивался с настройкой подобных вещей? Буду очень благодарен за любые подсказки.<br> openssh + chroot дубль 2 (AlekseyC) https://www.opennet.dev/openforum/vsluhforumID1/84135.html#5 Tue, 17 Feb 2009 13:03:04 GMT Из мана:<br>The ChrootDirectory must contain the necessary files and directories to support the users&#8217; session. For an interactive session this requires at least a shell, typically sh(1), and basic /dev nodes such as null(4), zero(4), stdin(4), stdout(4), stderr(4), arandom(4) and tty(4) devices. For file transfer sessions using &#8220;sftp&#8221;, no additional configuration of the environment is necessary if the in-process sftp server is used (see Subsystem for details).<br><br><br>SFTP отлично работает в chroot без дополнтельной конфигурации, а вот с SSH прийдется повозиться. Копирование всех необходимых файлов - дело неблагодарное. Если нравится минимализм, то ldd вам в руки и вперед копировать необходимые файлы и библиотеки...<br><br>Судя по прошлой теме у Вас Debian. Для создания сhroot дирректории вам поможет пакет cdebootstrap-static. Прочитайте man - там все просто.<br>Несомненных минусом данного метода является то, что в вашем chroot, будет много лишних файлов, без которых и так бы все работало.<br>В замен в openssh + chroot дубль 2 (pegas) https://www.opennet.dev/openforum/vsluhforumID1/84135.html#4 Tue, 17 Feb 2009 11:26:55 GMT &gt;Ну прочитайте таки третье и последующие предложения :) <br><br>Чесное слово, нефига не понимаю чего там написано. Я то с этим что Вы мне показали еле разобрался что там написано.<br> openssh + chroot дубль 2 (angra) https://www.opennet.dev/openforum/vsluhforumID1/84135.html#3 Tue, 17 Feb 2009 10:59:47 GMT Ну прочитайте таки третье и последующие предложения :)<br> openssh + chroot дубль 2 (pegas) https://www.opennet.dev/openforum/vsluhforumID1/84135.html#2 Tue, 17 Feb 2009 10:27:09 GMT &gt; ChrootDirectory <br>&gt; <br>&gt; Specifies a path to chroot(2) to after authentication. This <br>&gt;path, and all its components, must be root-owned directories that are <br>&gt;not <br>&gt; <br>&gt; writable by any other user or group. <br>&gt;Могу предположить, что вы не прочитали man дальше первого предложения и не <br>&gt;сделали корректный chown/chmod на /home/userhome <br><br>Да, Вы правы. Слона то я и не заметил. Теперь сделал... коннектится по sftp, а вот по ssh нехочет по прежнему. Как я понимаю это поведение управляется с помощью ForceCommand и Subsystem? Но вот что нужно туда написать?<br><br>PS: я сделал<br>#chmod 755 /home/userhome<br>#chown -R root:root /home/userhome<br>#chown -R username:usergroup /home/userhome/*<br>Это правильно, или же нет?<br> openssh + chroot дубль 2 (angra) https://www.opennet.dev/openforum/vsluhforumID1/84135.html#1 Tue, 17 Feb 2009 09:51:59 GMT ChrootDirectory<br> Specifies a path to chroot(2) to after authentication. This path, and all its components, must be root-owned directories that are not<br> writable by any other user or group.<br>Могу предположить, что вы не прочитали man дальше первого предложения и не сделали корректный chown/chmod на /home/userhome<br><br>