Страница 1 из 4 123 ... ПоследняяПоследняя
Показано с 1 по 10 из 40

Тема: Доступ по SSH в chroot окружение

  1. #1
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию Доступ по SSH в chroot окружение

    Доступ по SSH в chroot окружение
    Многие администраторы серверов под управлением ISPManager не дают SSH доступ из за того, что он позволяет гулять по всему серверу и читать почти любые файлы.

    Но с данной ситуации есть выход путем помещения пользователей SSH в специально созданное окружение. В этом окружение можно делать тоже самое, что и в нормальном доступе только выйти за пределы окружения нельзя. Кроме того, в окружение можно установить только определенные программы, тем самым пользователь сможет пользоваться только тем, что разрешил администратор.

    На мой взгляд, это, нужная функция и в тоже время безопасная для сервера. Если в реализации будет необходима, какая, то помощь или информация буду рад помочь.
    ---
    Можно реализовать виде модуля, что бы иметь возможность включать и выключать данный вид доступа. Иными словами, что бы была возможность выбирать тип обычный SSH или SSH chroot.

  2. #2
    Developer team Аватар для Igor
    Регистрация
    18.03.2004
    Сообщений
    7,674

    По умолчанию

    Па-ра-но-я ...

    Пользователь может гулять по всему серверу, видеть бинарники и прочие вещи которые есть на любой юних системе, и ничего секретного в них нет.

    При этом ISPmanager (в отличии от других панелей) создает _абсолютно_ защищенные домашние директории пользователей.

    И ни один пользовтель _не_ может ничего подсмотреть и сломать у другого.

    Не согласны ????
    Попробуйте, расскажете как вы на вашем сервере работая в шеле под одним пользователем что-то испортили другому.
    Igor. ISPsystem.

  3. #3
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Цитата Сообщение от Igor
    Па-ра-но-я ...

    Пользователь может гулять по всему серверу, видеть бинарники и прочие вещи которые есть на любой юних системе, и ничего секретного в них нет.

    При этом ISPmanager (в отличии от других панелей) создает _абсолютно_ защищенные домашние директории пользователей.

    И ни один пользовтель _не_ может ничего подсмотреть и сломать у другого.

    Не согласны ????
    Попробуйте, расскажете как вы на вашем сервере работая в шеле под одним пользователем что-то испортили другому.
    Один пользователь не может зайти, в директорию другого пользователя с этим я согласен. Но пользователь может видеть и читать некоторые файл, например конфигурационные файлы. Соответственно может узнать, как настроена система, что уже ненормально. Однако то, что вы называете паранойей реализовано в аналогичных системах. Этот модуль лишним не будет, а то пользоваться им или нет пусть решает сам администратор.

    Защита пользователей друг от друга это конечно хорошо, но чтение конфигов сервера это уже другая брешь в системе безопасности

  4. #4
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Если данная функция не кому не нужна, то не стоит ее реализовывать проще будет использовать API и написать плагин.

  5. #5
    Developer team Аватар для Igor
    Регистрация
    18.03.2004
    Сообщений
    7,674

    По умолчанию

    Какие например опасные конфиги, может прочитать простой пользователь? /etc/passwd ? ну и что он в нем найдет для себя полезного? как это снизит безопасность ?
    Igor. ISPsystem.

  6. #6
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Цитата Сообщение от Igor
    Какие например опасные конфиги, может прочитать простой пользователь? /etc/passwd ? ну и что он в нем найдет для себя полезного? как это снизит безопасность ?
    Кому надо тот найдет, как воспользоваться всем, что доступно в системе. Я считаю, что у пользователя должно быть свое окружение неправильно то, что он может выходить за пределы своей домашней директории. И если бы данное поведение было паранойей то, возможность chroot не создавали бы вообще. Или вы хотите сказать что создатели системы chroot параноики.

  7. #7
    Developer team Аватар для Igor
    Регистрация
    18.03.2004
    Сообщений
    7,674

    По умолчанию

    Я хочу сказать что систему unix вместе с ее системой прав создали много лет назад, и за все это время она ни сколько не изменилась. Это говорит о том что это хорошо спроектированная самодостаточная система.

    А chroot придумали для дырявых сервисов работающих от рута. В данном случае это действительно повышает безопасность.

    Кому надо тот найдет, как воспользоваться всем, что доступно в системе.
    Это все слова, воспользуйтесь, приведите конкретные факты.
    Igor. ISPsystem.

  8. #8
    Member
    Регистрация
    25.08.2006
    Сообщений
    68

    По умолчанию

    Итак, сценарий. Я покупаю аккаунт на сервере с ISPManager со включенным SSH. Лезу в /etc/exim4/local-aliases (на дебиане, на прочих аналогично). Вынимаю оттуда ящики. Лезу в /var/www и вынимаю логины. Раскидываю по ящикам сообщение следующего содержания: ваш хостер совершенно не заботится о безопасности, смотрите: ваш логин - петя, у вас есть 14 ящиков (перечисляю), ваш пароль я тоже знаю, но не скажу, знаете почему? Потому что предлагаю вам сменить хостера. Какие преимущества? Ну, во-первых, цена (на 30 рублей в месяц ниже + скидка за 1й год+перенос бесплатно). Во-вторых, пользователи никогда не узнают о том, с кем они соседствуют, так как защите данных мы уделяем гораздо большее внимание, чем нерадивый хостер.

    Игорь, Вы считаете, что если Вы не знаете как воспользоваться информацией, то никто не знает? Пытливый ум отечественного админа или черного маркетера способен на такие вещи, которые не снились вам и утром 1 января, а то, что я придумал - еще цветочки.

    Нельзя воспринимать защиту сервера как набор только лишь "админских" действий - это и организационные действия в том числе. И хреновая организация (засветка юзеров) является однозначно не плюсом.

    Ваша панель действительно задирает планку качества безопасности виртуального хостинга на новый уровень.

    Тем непонятнее слышать от вас упертое "ну покажите мне, как я эту организационную инфу (с точки зрения админа ей цена действительно 0.1) использовать, ну давайте.

    Да, Игорь, я могу сделать чрут вручную каждому юзеру с терминалом, точно так же как я раньше писал юзерам php.ini с open_basedir и session.save_path, а потом взял API и реализовал это автоматом. Могу пинать бэкапы каждый вечер, как сейчас и делаю, но это не портит общего впечатления от целостности и качества продукта, а также адекватности его разработчиков. И тут вы - а зачем чрут, у нас мегапанель и так. А то, что сервер свои яйца напоказ выставляет - это мелочь, да.

    Посмотрите чуть шире.

  9. #9
    Developer team Аватар для Igor
    Регистрация
    18.03.2004
    Сообщений
    7,674

    По умолчанию

    Поставьте на /var/www права 751 и никто не увидит списка юзеров,
    кстати я удивлен почему у вас не так, инсталятор делает именно такие права.

    Что касается екзима, к сожалению я с ним не знаком, но уверен что и его конфиги можно запретить читать всем.

    Я не считаю себя абсолютно правым, в своих убеждениях по безопасности, и по своему отношению к chroot

    Однако я всегда считал и счтаю что кастрированный шел _нафиг_ _никому_ ненужен. Лучше его совсем не давать чем давать кастрированый. Кому он нужен если в нем ничего сделать нельзя ???
    Или вы считатете оправданным копировать каждому полное дерево бинарников, либ и т.д. ???
    Igor. ISPsystem.

  10. #10
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Цитата Сообщение от Igor
    Поставьте на /var/www права 751 и никто не увидит списка юзеров,
    кстати я удивлен почему у вас не так, инсталятор делает именно такие права.

    Что касается екзима, к сожалению я с ним не знаком, но уверен что и его конфиги можно запретить читать всем.

    Я не считаю себя абсолютно правым, в своих убеждениях по безопасности, и по своему отношению к chroot

    Однако я всегда считал и счтаю что кастрированный шел _нафиг_ _никому_ ненужен. Лучше его совсем не давать чем давать кастрированый. Кому он нужен если в нем ничего сделать нельзя ???
    Или вы считатете оправданным копировать каждому полное дерево бинарников, либ и т.д. ???
    Ну не совсем полное дерево, а только то что администратор решит сделать доступным.
    Кроме того, приемлем chroot или нет это пусть решит сам администратор иными словами будет функция кому надо тот воспользуется, ну а кому это не нравиться пусть использует обычный вариант.

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •