URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 40286
[ Назад ]

Исходное сообщение
"OpenNews: В OpenSSH интегрирована поддержка 'chroot'"
Отправлено opennews , 20-Фев-08 17:55

В дерево исходных текстов OpenSSH принят код (http://undeadly.org/cgi?action=article&sid=20080220110039) позволяющий помещать отдельных пользователей в изолированное окружение. В купе с появившимися недавно средствами по ограничению выполняемых команд, новая возможность позволяет достаточно гибко организовывать лимитирование пользователей.

Кроме того, принят патч с реализацией sftp-server (http://www.openbsd.org/cgi-bin/man.cgi?query=sftp-server&sek...) внутри sshd, не требующий запуска отдельного процесса.
Помещение в chroot управляется через директиву ChrootDirectory, задаваемую в  конфигурационном файле sshd_config. Так как  sftp-server теперь встроен в sshd, формирование chroot окружения не требуется, достаточно указать в кофнигурации:

   Match user djm
       ForceCommand internal-sftp
       ChrootDirectory /chroot
  ...
  #Subsystem      sftp    /usr/libexec/sftp-server
  Subsystem       sftp    internal-sftp
и пользователь djm сможет пользоваться только sftp в пределах директории /chroot.

В качестве недостатка, можно отметить отстутствие интегрированной в sshd поддержки scp, по прежнему требующей копирования библиотек в chroot окружение.
URL: http://undeadly.org/cgi?action=article&sid=20080220110039
Новость: https://www.opennet.ru/opennews/art.shtml?num=14331

Содержание

В OpenSSH интегрирована поддержка 'chroot',Аноним, 17:55 , 20-Фев-08
В OpenSSH интегрирована поддержка 'chroot',Аноним, 18:01 , 20-Фев-08
В OpenSSH интегрирована поддержка 'chroot',zedis, 18:17 , 20-Фев-08
В OpenSSH интегрирована поддержка 'chroot',Dimez, 18:23 , 20-Фев-08
В OpenSSH интегрирована поддержка 'chroot',allexeym, 20:38 , 20-Фев-08
формирование chroot,Michael Shigorin, 21:11 , 20-Фев-08
В OpenSSH интегрирована поддержка 'chroot',ymkin, 21:38 , 20-Фев-08
В OpenSSH интегрирована поддержка 'chroot',polkan, 04:10 , 21-Фев-08
В OpenSSH интегрирована поддержка 'chroot',Лимуриец, 09:10 , 21-Фев-08
- В OpenSSH интегрирована поддержка 'chroot',хвост, 10:26 , 21-Фев-08
  - В OpenSSH интегрирована поддержка 'chroot',Лимуриец, 11:27 , 21-Фев-08
- В OpenSSH интегрирована поддержка 'chroot',replicant, 11:24 , 21-Фев-08
- В OpenSSH интегрирована поддержка 'chroot',_Nick_, 12:04 , 21-Фев-08
  - В OpenSSH интегрирована поддержка 'chroot',_Nick_, 12:06 , 21-Фев-08
OpenNews: В OpenSSH интегрирована поддержка 'chroot',fa, 11:13 , 21-Фев-08
В OpenSSH интегрирована поддержка 'chroot',gara, 17:42 , 21-Фев-08
В OpenSSH интегрирована поддержка 'chroot',Dyr, 17:35 , 22-Фев-08
OpenNews: В OpenSSH интегрирована поддержка 'chroot',nuclight, 08:06 , 27-Фев-08

Сообщения в этом обсуждении

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено Аноним , 20-Фев-08 17:55

Ура господа.

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено Аноним , 20-Фев-08 18:01

Позитивная новость.

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено zedis , 20-Фев-08 18:17

Давно пора

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено Dimez , 20-Фев-08 18:23

Отлично!!! Безумно рад, теперь ещё одну программу патчить не надо.

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено allexeym , 20-Фев-08 20:38

супер!

"формирование chroot"
Отправлено Michael Shigorin , 20-Фев-08 21:11

>В качестве недостатка, можно отметить отстутствие интегрированной в sshd поддержки scp,
>по-прежнему требующей копирования библиотек в chroot окружение.
Заинтересованные могут посмотреть пакет chrooted, штатно водящийся в ALT/Owl:
http://sisyphus.ru/srpm/chrooted

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено ymkin , 20-Фев-08 21:38

расскажите о применении

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено polkan , 21-Фев-08 04:10

>The full commit message:
>
>    CVSROOT:        /cvs
>    Module name:    src
>    Changes by:     djm@     2008/02/08 16:24:08
дайте людям ВРЕМЯ ПРОВЕРИТЬ И ВКОМПИЛЯТЬ %)))
а то сразу им "версия какая?" :)

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено Лимуриец , 21-Фев-08 09:10

Ещё бы теперь как-то организовать, чтобы подсистема QoS промежуточных роутеров узнавала, что по встроенному SFTP файло начали качать. Этот поток тоже через 22 порт идёт и траффик шифрованый, т.е. как-то детектировать отличие работы в терминале от передачи файла. А если сделан высокий приоритет для SSH, то файлокачание забьёт весь канал и параллельные SSH сессии будут жутко тормозить :((

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено хвост , 21-Фев-08 10:26

почитать побольше о qos
ssh если склероз не изменяет ставит разные биты приоритета для интерактивной сессии и file-transfer

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено Лимуриец , 21-Фев-08 11:27

Ну если так, то гуд.

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено replicant , 21-Фев-08 11:24

Изврат на почве паранойи

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено _Nick_ , 21-Фев-08 12:04

>А если сделан высокий приоритет для SSH
а SSH не нужен высокий проиритет на всех скоростях.
Достаточно высокого приоритета на низких, а на высоких - приоритет и
понизить можно ;)

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено _Nick_ , 21-Фев-08 12:06

>ssh если склероз не изменяет ставит разные биты приоритета для интерактивной сессии и file-transfer
и тогда умник ставящий _нужный_ бит на file-transfer получит...
если не фигу, то прост онизкий проиритет ;)

"OpenNews: В OpenSSH интегрирована поддержка 'chroot'"
Отправлено fa , 21-Фев-08 11:13

Отличная новость!!!

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено gara , 21-Фев-08 17:42

УРА !!!

"В OpenSSH интегрирована поддержка 'chroot'"
Отправлено Dyr , 22-Фев-08 17:35

Отличная и давно ожидаемая новость!

"OpenNews: В OpenSSH интегрирована поддержка 'chroot'"
Отправлено nuclight , 27-Фев-08 08:06

Лучше б в SFTP кодировки починили. А то по стандарту там должен быть UTF-8 (либо индикация локали), а по факту там имена файлов передаются как есть, забивая на кодировку, в результате грабли с русским на разных операционках.