[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Extrany problema amb chroot i scponly



Bones,

El Thursday 11 February 2010 15:59:31 Jordi Funollet va escriure:
> Hi ha alguna part del sistema que pugui tardar una mica? Coses com una
> validació d'usuari, un sistema de fitxers NFS, una resolució de noms DNS,
> un mapeig de username/UID via LDAP...

Be, tenim un DNS propi i evidentment hi ha validació de usuaris per poder 
connectar al servidor. No hi ha NFS ni LDAP (estic desitjant posar LDAP! però 
no tinc temps) ni res semblant.

> Això podria explicar el comportament: connectes el primer cop, no
> aconsegueix accés al recurs immediatament i talla la connexió. La tercera
> vegada que ho proves ja li ha donat temps de preparar-ho tot.

Mirant els logs, dos intents fallits van tardar 10 i 12 segons, mentres que un 
intent correcte van ser 7 segons.

> Al marge d'aquesta elucubració: no trobo el teu mail original i no sé si ja
> vas enviar el 'sshd.conf'. M'agradaria fer-li una ullada.

	No el vaig adjuntar, només vaig posar la traça del log.
	Adjunto la configuració. Com a paràmetres especials, vaig afegir uns grups 
als que es permet connectar, vaig deshabilitar el reenviament de X11 i hi han 
opcions per desconnectar al client si no hi ha transferència de dades.
	Aquesta ultima opció és molt sospitosa, si, la vaig posar per evitar que 
ocupèssin connexions mortes, però amb un marge amplissim: 8 intents cada 150 
segons donen 50 minuts. Serà que no son 150 segons com diu el manual? O 
potser vaig posar un interval massa gran que no està suportat (ni 
documentat), si enlloc de 150 segons en fós un de sol em cuadraria amb els 
temps dels logs (1 segon en 8 intents desconecta als 8 segons)... Ara ho he 
tret a veure si va millor i si funciona bé provaré amb valors més ajustats.

> Has provat amb altres clients a part del WinSCP? I... sense chroot
> funciona? 

S'ha provat amb el Filezilla, el Konqueror i la comanda "scp" de terminal amb 
idèntics resultats, amb Linux, Win i MacOS.
Fora del chroot funciona sense problemes, vaja, estic constantment connectat 
per ssh i movent fitxers per sftp (sense scponly) perfectament.

> -- 
> ##############################
> ### Jordi Funollet
> ### http://www.terraquis.net


-- 

Marc Olivé
Grup Blau
# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel DEBUG

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

MaxAuthTries 3
AllowGroups sshuser scpuser

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile	%h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

#Send Alive message every XY seconds
ClientAliveInterval  150
#Disconnect client after not reciving XY alive answer
ClientAliveCountMax  8

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding no
#X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#MaxStartups 2
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server


Reply to: