Openssh, chroot directory onder user rechten - Linux en overige clients

woensdag 22 juli 2015 09:13

Acties:

0 Henk 'm!

Topicstarter

Voor openssh wil ik dat gebruikers alleen in hun eigen map kunnen en niets anders zien, ik heb hiervoor de volgende extra config in sshd_config

code:

Match Group sftp
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no
        PermitTunnel no
        X11Forwarding no

Ik heb begrepen dat openssh vereist dat de chrootdirectory root rechten hebben, waardoor ik het alleen werkend krijg door een sub-map de juiste rechten van de gebruiker te geven.
Ik zou het liefste zien dat een gebruiker direct in de root map zou kunnen schrijven.

Is hier ergens een mogelijkheid voor? Iedereen zegt dat openssh paranoia is met chroot en dat het niet kan, maar misschien weet iemand toch een weg.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

woensdag 22 juli 2015 10:10

Acties:

0 Henk 'm!

Raynman

quote: sshd_config(5)
After the chroot, sshd(8) changes the working directory to the user's home directory.

Je zou dan de home dir zo kunnen instellen dat de working directory die subdir wordt waarin de gebruiker wel kan schrijven. Dus bijv. ChrootDirectory=/home/user en home=/home/user/realHome. Je hebt wel een extra map, maar de gebruiker heeft er zo minder last van.

woensdag 22 juli 2015 11:04

Acties:

0 Henk 'm!

DSK

boeiend...

Raynman schreef op woensdag 22 juli 2015 @ 10:10:
[...]

Je zou dan de home dir zo kunnen instellen dat de working directory die subdir wordt waarin de gebruiker wel kan schrijven. Dus bijv. ChrootDirectory=/home/user en home=/home/user/realHome. Je hebt wel een extra map, maar de gebruiker heeft er zo minder last van.

Uit mijn ervaring weet ik dat dit inderdaad de enige mooie oplossing is voor chroot met ssh.
Concreet:
/home/user is root:root 750 (write voor de groep wordt soms ook als onveilig gezien en toegang geweigerd)
/home/user/realHome is user:groep 750 (of 770)
in /etc/passwd (of met een utility) pas je home van de user aan naar /home/user/realHome

Bij het connecteren zal de user terrechtkomen in /home/user/realHome en kunnen schrijven. De user kan wel nog navigeren naar.. (/home/user) maar kan daar verder niks.

Blog (Linux-related)

woensdag 22 juli 2015 12:55

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

OpenSSH leest de $HOME waarde uit /etc/passwd, dus als je een map maakt met /home/user/realhome en dat opgeeft in passwd, dan wil OpenSSH daar ook heen chroot'en en krijg je alsnog foutmeldingen. Er zit niets anders op dan gewoon /home/user aan te houden en een map aan te maken waar ze wel alles in kunnen doen. Btdt.

Commandline FTW | Tweakt met mate

woensdag 22 juli 2015 14:29

Acties:

0 Henk 'm!

DSK

boeiend...

Hero of Time schreef op woensdag 22 juli 2015 @ 12:55:
OpenSSH leest de $HOME waarde uit /etc/passwd, dus als je een map maakt met /home/user/realhome en dat opgeeft in passwd, dan wil OpenSSH daar ook heen chroot'en en krijg je alsnog foutmeldingen. Er zit niets anders op dan gewoon /home/user aan te houden en een map aan te maken waar ze wel alles in kunnen doen. Btdt.

Je kan dan wel in /etc/ssh/sshd_config het volgende zetten:

code:

1	ChrootDirectory /home/%u

Dan speelt de homedir geen rol voor de chroot.

Blog (Linux-related)

woensdag 22 juli 2015 14:31

Acties:

0 Henk 'm!

johnkeates

Als je er dan nog niet uit komt kan je JailKit gebruiken om zonder ChrootDirectory toch SSH users te jailen.

woensdag 22 juli 2015 14:52

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

DSK schreef op woensdag 22 juli 2015 @ 14:29:
[...]

Je kan dan wel in /etc/ssh/sshd_config het volgende zetten:
code:
1
ChrootDirectory /home/%u
Dan speelt de homedir geen rol voor de chroot.

Maar dan zit je nog steeds met hetzelfde, de gebruiker wordt via chroot naar /home/user gestuurd, maar kan pas schrijven in /home/user/realroot. Er is gewoon geen mogelijkheid waarmee je via chroot direct in / kan schrijven, het moet altijd /subdir zijn waar de user wel volrecht in heeft.

Commandline FTW | Tweakt met mate

woensdag 22 juli 2015 15:33

Acties:

0 Henk 'm!

Raynman

Hero of Time schreef op woensdag 22 juli 2015 @ 14:52:
[...]

Maar dan zit je nog steeds met hetzelfde, de gebruiker wordt via chroot naar /home/user gestuurd, maar kan pas schrijven in /home/user/realroot. Er is gewoon geen mogelijkheid waarmee je via chroot direct in / kan schrijven, het moet altijd /subdir zijn waar de user wel volrecht in heeft.

TS vraagt: blijkbaar is de subdir vereist, of kan ik er daar toch onderuit komen?
Wij zeggen: nee, je hebt sowieso een subdir nodig, maar je kunt de pijn ietsje verzachten.
Jij zegt: dan krijg je foutmeldingen als je de config van TS ongewijzigd laat.
DSK zegt: ja, je moet dan inderdaad een regeltje aanpassen.
Jij zegt: maar dan heb je nog steeds de subdir.

Het is al een tijdje geleden dat ik dit getest heb, maar ik dacht dat het redelijk werkte en ik heb hier nog geen tegenargumenten gezien.

donderdag 23 juli 2015 08:25

Acties:

0 Henk 'm!

ddkiller0900

Ik weet dat je voor sftp een optie allow_writeable_chroot kunt inschakelen waardoor je toch kunt schrijven in je homedirectory. Uiteraard wel zorgen dat de juiste rechten zijn ingesteld. Ben momenteel op vakantie dus kan niet even snel in de manpages kijken.