Re: rssh et chroot

To: debian-user-french@lists.debian.org
Subject: Re: rssh et chroot
From: Sylvain Lévêque <_NOSPAM_kag@laposte.net>
Date: Sun, 31 Jul 2005 11:59:49 +0200
Message-id: <[🔎] 42ECA115.5050801@laposte.net>
In-reply-to: <4hh5v-2bF-17@gated-at.bofh.it>
References: <4h54p-18W-9@gated-at.bofh.it> <4hh5v-2bF-17@gated-at.bofh.it>

Je viens de prendre le temps de débugger ma config, je laisse un petit
bilan de ce que ça donne si quelqu'un est intéressé.

> je pense que ton utilisateur anonymous doit être dans /etc/passwd
> _et_ dans $CHROOT_PATH/etc/passwd (qui me semble nécessaire, or il
> n'est présent que dans la "2ième méthode")

Effectivement, il manquait ce bout, qui bloque scp. Seule la liaison
entre l'UID et le username est utile, je crois, le homedir par exemple
est ignoré. Mais j'avais des soucis avant même cette étape, qui me
masquaient ce problème.

Petit rappel de ce que je voulais faire:

>> J'aimerais n'autoriser que scp, et qu'en upload (qu'on ne puisse
>> pas facilement lister les fichiers uploadés et qu'on ne puisse pas
>> faire sortir des fichiers de ma machine)

Eh bien, visiblement, la partie "qu'en upload" n'est pas possible: je
dois laisser un scp sous le chroot, sinon, je me retrouve avec le fameux
"lost connection" qui me bloquait. Il est alors tout à fait possible de
télécharger des fichiers par scp depuis le serveur. Il va falloir que je
creuse comment fonctionne scp, voir si j'ai une solution... Peut être
que je peux contourner le problème via les droits associés aux fichiers
sur le serveur, mais je trouve ça moins propre.

L'arborescence finale, pour n'autoriser que scp est la suivante
(relative au chroot):

.
|-- etc
|   `-- passwd
|-- lib
|   |-- ld-2.3.2.so
|   |-- ld-linux.so.2 -> ld-2.3.2.so
|   |-- libnss_files-2.3.2.so
|   |-- libnss_files.so.2 -> libnss_files-2.3.2.so
|   |-- libselinux.so.1
|   `-- tls
|       |-- libc.so.6
|       |-- libcrypt-2.3.2.so
|       |-- libcrypt.so.1 -> libcrypt-2.3.2.so
|       |-- libdl-2.3.2.so
|       |-- libdl.so.2 -> libdl-2.3.2.so
|       |-- libnsl-2.3.2.so
|       |-- libnsl.so.1 -> libnsl-2.3.2.so
|       |-- libresolv-2.3.2.so
|       |-- libresolv.so.2 -> libresolv-2.3.2.so
|       |-- libutil-2.3.2.so
|       `-- libutil.so.1 -> libutil-2.3.2.so
|-- upload
`-- usr
    |-- bin
    |   `-- scp
    `-- lib
        |-- i686
        |   `-- cmov
        |       `-- libcrypto.so.0.9.7
        `-- libz.so.1

upload est le homedir de l'utilisateur du scp, il faut faire un peu
attention aux problèmes de droits sur ce dossier.

A noter, contrairement à la doc de rssh, et conformément à ce que je
pensais, il n'y a pas besoin du rssh_chroot_helper sous le chroot.
Dernière chose, depuis, j'ai découvert qu'il existait un autre paquet,
scponly, qui a l'air de fournir le même genre de service que rssh. Je ne
l'ai pas testé.
--
Sylvain

Reply to:

Prev by Date: Re: Mode "accusés de réception"
Next by Date: Re: Mode "accusés de réception"
Previous by thread: Re: Mode "accusés de réception"
Next by thread: Lilo avec Debian Sarge
Index(es):
- Date
- Thread