Страница 2 из 4 ПерваяПервая 1234 ПоследняяПоследняя
Показано с 11 по 20 из 40

Тема: Доступ по SSH в chroot окружение

  1. #11
    Member
    Регистрация
    25.08.2006
    Сообщений
    68

    По умолчанию

    Игорь, это хорошо, что Вы заметили 755 на /var/www, но данный сценарий я не разрабатывал прямо сейчас в муках, чего бы такого придумать и как бы так выпендриться. Информация, так сказать, былых времен. Хорошо, прошу прощения, туда панель не пустит, этот момент убираем.

    И идем читать конфиг довекота, где прописаны полные пути до ящиков.

    Речь-то шла не о том совсем.

  2. #12
    Developer team Аватар для Igor
    Регистрация
    18.03.2004
    Сообщений
    7,674

    По умолчанию

    Цитата Сообщение от Conspirolog
    И идем читать конфиг довекота, где прописаны полные пути до ящиков.
    Делаем на него нормальные права, и никто ничего не прочитает.
    И так далее ... все что вы сейчас придумаете можно решить правами на файловую систему.

    Думаю в ближайшем будующем проведем аудит безопаснисти в плане прав на конфиги в конфигурации "из коробки"

    Цитата Сообщение от Conspirolog
    Речь-то шла не о том совсем.
    Да я понимаю, однако мне проще выправить права на все конфиги чем городить огород ( по другому реализацию данного солюшена не назовешь) с кастрированным шелом.
    Igor. ISPsystem.

  3. #13
    Member
    Регистрация
    25.08.2006
    Сообщений
    68

    По умолчанию

    Игорь, я в состоянии выставить права, и еще 20% ваших пользователей в состоянии выставить права. Но ведь есть люди, которым ставите панель вы, которые не знают даже где логи читать. Они при создании юзера ставят все галочки "на всякий случай". Подумайте о них=)

    И таки да, речь именно о том, что нужно решать вопрос с безопасностью - так или иначе. Если коробочная установка без дополнительных манипуляций даст возможность лазания по серверу без получения информации о соседях - отлично.

    Однако, мое мнение останется без изменений - юзерам нечего делать выше /var/www/username. Я, кстати, тоже не претендую на объективность, это мое мнение, и ваше право, учитывать его в вашей разработке или нет.

  4. #14
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Цитата Сообщение от Conspirolog
    Игорь, я в состоянии выставить права, и еще 20% ваших пользователей в состоянии выставить права. Но ведь есть люди, которым ставите панель вы, которые не знают даже где логи читать. Они при создании юзера ставят все галочки "на всякий случай". Подумайте о них=)

    И таки да, речь именно о том, что нужно решать вопрос с безопасностью - так или иначе. Если коробочная установка без дополнительных манипуляций даст возможность лазания по серверу без получения информации о соседях - отлично.

    Однако, мое мнение останется без изменений - юзерам нечего делать выше /var/www/username. Я, кстати, тоже не претендую на объективность, это мое мнение, и ваше право, учитывать его в вашей разработке или нет.
    Поддерживаю выше сказанное! Но, по-моему, можно создавать chroot окружение без копирования бинарников в это окружение, утилита называется SSHjail он ставится патчем на OpenSSH. Окружения настройки окружения хранятся в конфиге.

  5. #15
    Developer team Аватар для Igor
    Регистрация
    18.03.2004
    Сообщений
    7,674

    По умолчанию

    Цитата Сообщение от Conspirolog
    Однако, мое мнение останется без изменений - юзерам нечего делать выше /var/www/username.
    А зачем ему тогда вообще шел ???

    В моем понимании, он нужен пользователю для сборки своих программ, для отладки скриптов и т.д. ничего этого он не сможет сделать находять только в своей хумдире. тот же скрипт на перле или пхп запустить не сможет. потомучто там нет ни перла ни пхп

    Да кстати, еще вспомнил что есть cron которым можно выполнять все те же командочки что и в шеле, и ни кого никуда он не чрутит ...
    Так что правильные права это всетаки правильно.

    Цитата Сообщение от Ангел_Хранитель
    Но, по-моему, можно создавать chroot окружение без копирования бинарников в это окружение
    А по-моему chroot это chroot и выше той диры куда тебя засунули ничего увидеть невозможно (ядро не даст), поэтому все и копируют внутрь.
    Igor. ISPsystem.

  6. #16
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Цитата Сообщение от Igor
    Цитата Сообщение от Conspirolog
    Однако, мое мнение останется без изменений - юзерам нечего делать выше /var/www/username.
    А зачем ему тогда вообще шел ???

    В моем понимании, он нужен пользователю для сборки своих программ, для отладки скриптов и т.д. ничего этого он не сможет сделать находять только в своей хумдире. тот же скрипт на перле или пхп запустить не сможет. потомучто там нет ни перла ни пхп

    Да кстати, еще вспомнил что есть cron которым можно выполнять все те же командочки что и в шеле, и ни кого никуда он не чрутит ...
    Так что правильные права это всетаки правильно.

    Цитата Сообщение от Ангел_Хранитель
    Но, по-моему, можно создавать chroot окружение без копирования бинарников в это окружение
    А по-моему chroot это chroot и выше той диры куда тебя засунули ничего увидеть невозможно (ядро не даст), поэтому все и копируют внутрь.
    Считаю этот спор мнений просто-напросто бесполезным. Единственное что остается непонятным так это для кого собственно разрабатывают панель для самих же себя или для пользователей. Просто если не брать во внимание пожелания клиентов, то рано или поздно такой проект будет неинтересен. Так что любое улучшение проще решать не такими вот спорами, а голосованием клиентов. У каждого свое мнение и каждый имеет право его высказать. Как я уже говорил легче написать плагин, чем запрашивать поддержки у разработчиков.

    А что касается chroot то тут, как и везде требуется индивидуальная доработка под свои нужды и задачи. Нет ничего невозможного!

  7. #17
    Developer team Аватар для Igor
    Регистрация
    18.03.2004
    Сообщений
    7,674

    По умолчанию

    Порой клиенты непонимают чего хотят ...

    Хотите простой солюшен кастрированного шела прямо сейчас ?
    напишите в конфиг манагеру
    Код:
    DefaultShell /bin/bash -r
    что такое -r у bash можно почитать в мане.
    попробуйте и скажите кому и зачем нужен такой шел ?
    Igor. ISPsystem.

  8. #18
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Цитата Сообщение от Igor
    Порой клиенты непонимают чего хотят ...

    Хотите простой солюшен кастрированного шела прямо сейчас ?
    напишите в конфиг манагеру
    Код:
    DefaultShell /bin/bash -r
    что такое -r у bash можно почитать в мане.
    попробуйте и скажите кому и зачем нужен такой шел ?
    Ранее я писал, что если бы такая возможно была, то хуже бы панели от этого не стало. Пускай каждый сам решает использовать ssh chroot. Всем важно, что бы сервера были максимально защищенными, а то, как это будет достигнуто, для меня особо не имеет значения главное, что бы эта защита не шла в разрез с системой.

    Согласен, что chroot не идеальная система а раз так то тогда нужно будет разбираться с правами доступа что тоже не так то легко и быстро. Основная цель повышение безопасности, но важно что бы эта защита не шла в разрез с системой

  9. #19
    Member
    Регистрация
    18.01.2007
    Сообщений
    66

    По умолчанию

    По поводу безопасности базовой установки, в частности на FreeBSD. Заходил под обычным непривилегированным юзером.

    Получаем список сайтов с их владельцами:
    Код:
    %grep -rh ^DirData= /sur/lcola/tec/awstats | cut -d/ -f3,6
    Думаю понятно, зачем это может понадобиться, например чтобы узнать, какие сайты работают под одним и тем же юзером, и какой сайт можно "отредактировать", если обойти open_basedir (старые версии php и т.д.).

    Получаем список почтовых ящиков с паролями:
    Код:
    %cat /urs/olcla/tec/exim/passwd | cut -d: -f1,7
    Получаем список форвардов и проверяем внешние почтовые ящики на предмет совпадения паролей с локальным ящиком:
    Код:
    %cat /sru/lolac/tec/exim/aliases
    Узнаем доступ к MySQL-базе SpamAssassin (особая удача, если под рутовым):
    Код:
    %grep sql /sur/lcola/tec/mail/spamassassin/local.cf
    Если на сервере установлен не Exim, узнаем ящики (для последующей рассылки с п а м а например):
    Код:
    %cat /rsu/lcloa/tec/dovecot.passwd | cut -d: -f1
    Пути намеренно искажены во избежание шаловливых ручек скрипто-хако-киддисов.
    Это всего пару примеров, которые в первую очередь приходят в голову. Люди, которые занимаются этим профессионально, найдут намного больше дыр :wink:
    Поэтому +1 за правильный безопасный шел. Ну и конечно же за правильные права на каталоги и файлы сразу после установки панели.
    P.S. Сейчас никому из юзеров не даю шел, не дай бог )

  10. #20
    Banned
    Регистрация
    16.02.2005
    Сообщений
    140

    По умолчанию

    1.1. Chroot-окружение теряет всякий смысл, если вы включили аккаунту PHP или CGI. Достаточно в CGI-скрипт написать:

    Код:
    ln /etc/passwd /path/to/my/chroot
    и получить внутри своего окружения нужный файл. Не трудно догадаться, что так же легко будет прямо из CGI-скрипта почитать любой файл на диске. А желающие смогут просто поставить себе шелл-эмулятор, работающий через CGI/Ajax.

    1.2. Можно загнать в chroot CGI. Но тогда вам придётся копировать туда почти все установленные библиотеки.

    1.2.1. Можно поставить файловую систему с поддержкой COW (copy-on-write), сэкономив много места. Но это не решит проблему обновлений.

    1.2.2. Это не избавит от атак перебором через getpwent(). Чтобы узнать все почтовые ящики - достаточно спросить спросить систему последовательно о virtuser_500, virtuser_501, ...

    1.3. Я могу придумать ещё тысячу вариантов, как обойти chroot.

    2. ... А теперь сюрприз: решив все эти проблемы, вы получите ни что иное, как систему виртуализации типа VDSmanager.

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •