Страница 3 из 4 ПерваяПервая 1234 ПоследняяПоследняя
Показано с 21 по 30 из 40

Тема: Доступ по SSH в chroot окружение

  1. #21
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Да не очень хорошо получается, если засунуть в chroot только часть, то это даже не chroot. Ну а если в chroot заснуть все функции, то это уже Jail что в принципе сравнимо с VDS. VDSManager это хорошо и удобно но очень дорого, а сам продукт очень интересный. Насчет безопасности получается, что права доступа это на данный момент оптимальный вариант.

  2. #22
    Banned
    Регистрация
    16.02.2005
    Сообщений
    140

    По умолчанию

    По поводу прав на конфигурационные файлы: скажите, какая у вас OS и когда примерно ставили ISPmanager. В новой инсталляшке (появилась в сентябре прошлого года) многое исправлено. Сейчас есть желание провести полную ревизию.

  3. #23
    Senior Member
    Регистрация
    15.01.2008
    Сообщений
    168

    По умолчанию

    Цитата Сообщение от john
    По поводу прав на конфигурационные файлы: скажите, какая у вас OS и когда примерно ставили ISPmanager. В новой инсталляшке (появилась в сентябре прошлого года) многое исправлено. Сейчас есть желание провести полную ревизию.
    FreeBSD 6.2, панель установлена неделю назад.
    Проблема с awstats осталась, то же самое и с открытым на чтение файлом httpd.conf.
    Проблема с exim и dovecot устранена.

    Еще одна проблема с squirrelmail, описанная тут:
    http://forum.ispsystem.com/ru/viewtopic.php?t=1491
    Если руками починить, то какие лучше права поставить на каталоги
    /var/spool/squirrelmail/
    /var/spool/squirrelmail/pref/
    /var/spool/squirrelmail/data/

    На данный момент было сделано так:
    mkdir /var/spool/squirrelmail
    mkdir /var/spool/squirrelmail/pref
    mkdir /var/spool/squirrelmail/attach
    chown -R www:www /var/spool/squirrelmail
    chmod 730 /var/spool/squirrelmail/attach
    chmod 730 /var/spool/squirrelmail/pref
    chmod 730 /var/spool/squirrelmail

    Полет пока нормальный, но что еще можно сделать?
    P.S. первоначально был создан каталог data вместо attach, но и без него все нормально работало, вложенные картинки в письмах нормально открывались...

  4. #24
    Banned
    Регистрация
    16.02.2005
    Сообщений
    140

    По умолчанию

    Цитата Сообщение от nwton
    FreeBSD 6.2, панель установлена неделю назад.
    Проблема с awstats осталась, то же самое и с открытым на чтение файлом httpd.conf.
    Это уже исправлено. Будет в ближайшем релизе.

    Цитата Сообщение от nwton
    На данный момент было сделано так:
    mkdir /var/spool/squirrelmail
    mkdir /var/spool/squirrelmail/pref
    mkdir /var/spool/squirrelmail/attach
    chown -R www:www /var/spool/squirrelmail
    chmod 730 /var/spool/squirrelmail/attach
    chmod 730 /var/spool/squirrelmail/pref
    chmod 730 /var/spool/squirrelmail
    Так будет правильнее:

    Код:
    chown root:wheel /var/spool/squirrelmail
    chown root:www /var/spool/squirrelmail/attach
    chown root:www /var/spool/squirrelmail/pref
    chmod 755 /var/spool/squirrelmail
    chmod 730 /var/spool/squirrelmail/attach
    chmod 730 /var/spool/squirrelmail/pref
    Иначе кто угодно с правами www (а это любой PHP-скрипт в режиме модуля) сможет посмотреть листинг директории или даже удалить эти два подкаталога.

    Тоже появится в ближайшем релизе.

  5. #25
    Senior Member
    Регистрация
    15.01.2008
    Сообщений
    168

    По умолчанию

    Цитата Сообщение от john
    Так будет правильнее:
    ...
    Вот теперь мне нравится, а то ответ по официальному каналу оказался еще хуже моего решения (например, было предложено поставить 750 на каталог pref и владельцем www обьявить).

  6. #26

    По умолчанию

    Цитата Сообщение от Igor Посмотреть сообщение
    Па-ра-но-я ...

    Пользователь может гулять по всему серверу, видеть бинарники и прочие вещи которые есть на любой юних системе, и ничего секретного в них нет.

    При этом ISPmanager (в отличии от других панелей) создает _абсолютно_ защищенные домашние директории пользователей.

    И ни один пользовтель _не_ может ничего подсмотреть и сломать у другого.

    Не согласны ????
    Попробуйте, расскажете как вы на вашем сервере работая в шеле под одним пользователем что-то испортили другому.
    Я могу сказать как благодаря вашей отмашке это не относится к ispmanager можно запустить форкбомбу у поставить в интересную позу весь сервер.
    То что все юзеры создаются с дефолтным классом не есть гуд
    Хостинг-Поинт | Качественный и недорогой виртуальный хостинг.

  7. #27
    Senior Member
    Регистрация
    12.02.2007
    Сообщений
    1,140

    По умолчанию

    Цитата Сообщение от valmon Посмотреть сообщение
    Я могу сказать как благодаря вашей отмашке это не относится к ispmanager можно запустить форкбомбу у поставить в интересную позу весь сервер.
    То что все юзеры создаются с дефолтным классом не есть гуд
    Сервер в позе зрелище не из приятных, благо что в Gentoo есть специальные модули для облегчения работы с ssh в chroot даже процесс автоматизирован, какая красота. И правильно сказал предыдущий оратор нужно четко определять границы доступа пользователям, а то что пользователь шелла не может войти в чужой аккаунт это хорошо но этого недостойно, дабы зайти не может но может навернуть весь сервер что отразится на всех...
    Когда мне становится скучно, я скачиваю новый release

  8. #28
    Senior Member
    Регистрация
    10.03.2009
    Сообщений
    457

    По умолчанию

    Если хочу отключить ТОП, и/или минимизировать его информационность при выводе, запредить некоторые др. команды, например "du".. (-hd1 и т.д.), и еще некоторые...
    Панель ругатся не будет?
    Все будет в порядке?
    Админ только панель недавно в глаза увидил, лучше тут спрошу посему.

  9. #29
    Senior Member Аватар для Alex Keda
    Регистрация
    20.01.2009
    Адрес
    USSR
    Сообщений
    2,919

    По умолчанию

    Код:
    srv$ grep secu /etc/sysctl.conf
    #security.bsd.see_other_uids=0
    security.bsd.see_other_uids=0
    security.bsd.see_other_gids=0
    srv$
    и панели это никоим образом не касается.
    администратора гоните, ибо некомпетентен.

  10. #30
    Senior Member Аватар для WebGraf
    Регистрация
    26.06.2009
    Сообщений
    767

    По умолчанию

    Цитата Сообщение от john Посмотреть сообщение
    1.1. Chroot-окружение теряет всякий смысл, если вы включили аккаунту PHP или CGI. Достаточно в CGI-скрипт написать:

    Код:
    ln /etc/passwd /path/to/my/chroot
    и получить внутри своего окружения нужный файл.
    На верно настроенной системе такая команда пермишен дениед вызовет ))

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •