Re: chroot ssh
Am Dienstag, den 12.07.2005, 13:43 +0200 schrieb Saskia Whigham:
> macht es Sinn ssh in einer chroot Umgebung laufen zulassen wenn man über
> z.B. Fernwartung diesen Server wo sich der ssh Prozess drauf befindet
> administrieren will.
IMHO nein. Denn für die Administration, müsstest du ja wahrscheinlich
aus der CHROOT-Umgebung ausbrechen.
> Die Administration soll im vollem Umfang ablaufen das
> heisst man brauch auch Zugriff auf /etc usw. . Ist in diesem Fall eine
> chroot überhaupt möglich. Also ich habe das in den einzeln. Dokus so
> verstanden das wenn man einen User hat und der nicht als super User
> fungieren soll diesem User eine chroot ssh zur Verfügung stellt um per scp
> einige Dateien zu verschieben.
Man kann mittels rssh-Shell (gleichnamiges Paket) die
Zugriffsmöglichkeiten beschränken (auf scp,sftp,cvs,..) und Nutzer auch
in eine CHROOT-Umgebung sperren. Falls ein User auch nur Zugriff auf das
SFTP-Subsystem bekommen soll, kannst du auch in
~user/.ssh/authorized_keys dem Schlüssel ein:
command="/usr/lib/sftp-server" voranstellen. Er kann dann nur SFTP.
> Für den Admin gebrauch fürs ganze system wäre
> dann ja wohl eine chroot Umgebung nicht so sinnvoll oder?
Ist IMHO in den meisten Fällen nicht sinnvoll.
> Ich habe schon
> viel über SSH absicherung gelesen. Vielleicht habt ihr ja noch eine
> Möglichkeit um ein sichers ssh zu ermöglichen.
Root-Login und Kennwort-basierte Authentifizierung verbieten bzw.
ausschalten. Dafür Authentifizierung über einen öffentlichen Schlüssel
einsetzen (mit einem starken Kennwort). Wenn du willst, kannst du noch -
security-by-obscurity-technisch - den SSH-Port verlegen. Damit hast du
etwas mehr Ruhe vor den Brute-Force-Skripten.
MfG Daniel
Reply to:
- References:
- chroot ssh
- From: "Saskia Whigham" <debianliste@gmx.de>