[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OT: Restringir comando cd SOLUCIONADO



El Jueves, 2 de Noviembre de 2006 17:05, Debian escribió:
> Bien, cuando dije que no funcionaba paso lo siguiente:
> cree el usuario con /usr/share/doc/scponly/setup_chroot/setup_chroot.sh
> si ningún problema... pero cuando trataba de conectarme con winscp, el
> server me desconectaba por que aparentemente no había ningún servicio
> scp corriendo...

En la documentación y en algunos archivos dentro de /usr/share/doc/spconly 
comentan precisamente de un posible fallo con el cliente WinSCP debido a algo 
del "grupo" y tal. También indican cómo solucionarlo bajando un parche o algo 
así.

Yo no lo he probado con WinSCP pero sí con otros clientes SFTP como el kio 
sftp:// de KDE o por consola y funciona.


> La solución fue, cambiar la shell que se la había asignado al usuario en
> /etc/passwd
> la shell asignada por el script era: /usr/sbin/scponlyc
> Pero realmente la shell estaba en /usr/bin/scponlyc

Humm, me temo que no, mira mi /etc/passwd:

  invitado:x:1006:100::/home/invitado/:/usr/sbin/scponlyc


Además, la diferencia es que el que está en /usr/sbin tiene el bit suid 
necesario para el tema de la jaula y tal:

ls -l /usr/sbin/scponlyc
-rwsr-xr-x 1 root root 16K 2006-04-04 15:33 /usr/sbin/scponlyc*

ls -l /usr/bin/scponly
-rwxr-xr-x 1 root root 16K 2006-04-04 15:33 /usr/bin/scponly*



> Ahí logre la conexión scp, pero aun no lograba limitar al usuario a su
> directorio en /home. Con la conexión establecida se movía libremente por
> los directorios del servidor.

Lógico ;)


> Leyendo encontré que lo que necesitaba era un jail, y la respectiva
> solución, scpjailer.
> http://tjw.org/chroot-login-HOWTO/
> http://tjw.org/scpjailer/
> Reinstale scponly con funcionalidad chroot y copie el scpjailer tal cual
> dice en el README que acompaña el paquete, y voilà, todo funcionó
> perfecto, fue necesario volver a crear al usuario co la utilidad del
> scpjailer el comando fue
> ./scpjailer-i386 --useradd
> y la interfaz es igual a la del scponly
>
> Listo, el usuario no puede hacer ssh (no tiene shell dinámica), puede
> hacer scp transferir sus archivos y lo que quería, encarcelarlo a su
> espacio en /home/user.

Aquí ya ni idea porque no he tenido que hacerlo.  ;)


Saludos.


-- 
Iñaki

Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista



Reply to: