Scponly ja Ubuntu Server 7.10 64bit

[Jantunen]

Moro!

Seurasin tuota howtoa:
http://ubuntuforums.org/showthread.php?t=451510

Ja sain tuon toimimaan juuri niin kuin pitääkin omalla kotikoneellani (32bit ubuntu 7.10).
Nyt sama toimenpide ubuntu server 7.10 64bit ei suostu kirjaamaan vastaavanlaista käyttäjää sisälle vaan sanoo
"connection closed" heti salasanan antamisen jälkeen.

/var/log/auth.log sanoo seuraavaa:

Koodia: [Valitse]

Jan 24 09:29:25 xxxxxx scponly[27574]: retrieved home directory of "/home/chroot/xxxxxx" for user "xxxxxx"
Jan 24 09:29:25 xxxxxx scponly[27574]: chrooting to dir: "/home/chroot/xxxxxx"
Jan 24 09:29:25 xxxxxx scponly[27574]: chdiring to dir: "/"
Jan 24 09:29:25 xxxxxx scponly[27574]: chdiring to dir: "/"
Jan 24 09:29:25 xxxxxx scponly[27574]: setting uid to 1003
Jan 24 09:29:25 xxxxxx scponly[27574]: processing request: "/usr/lib/openssh/sftp-server"
Jan 24 09:29:25 xxxxxx scponly[27574]: running: /usr/lib/sftp-server (username: xxxxxx(1003), IP/port: xxx.xxx.xxx.xxx 39449 22)
Jan 24 09:29:25 xxxxxx scponly[27574]: failed: /usr/lib/sftp-server with error No such file or directory(2) (username: xxxxxx(1003), IP/port: xxx.xxx.xxx.xxx 39449 22)

Ssh ja sftp toimivat kyllä muilla käyttäjillä, muttei juuri tuolla scponlyä käyttävällä käyttäjällä.

Kotikoneen ympäristö ja palvelimen ympäristö eivät ole lähellekkään identtiset noin miljoonan muun tuloksettoman chroot-kokeilun jäljiltä kotikoneella, joten en osaa edes kuvitella mistä vikaa pitäisi lähteä hakemaan...

/etc/ssh/sshd_config -tiedostoon olen muuten laittanut
UsePrivilegeSeparation no
mikäli sillä on mitään merkitystä...

[Asmo Koskinen]

Ssh ja sftp toimivat kyllä muilla käyttäjillä, muttei juuri tuolla scponlyä käyttävällä käyttäjällä.

Wu-ftp osaa suoraan chroot-toiminnan.

Esimerkiksi tällainen ohje:

http://agiletesting.blogspot.com/2005/10/mini-howto-1-chroot-ed-ftp-with-wu.html

Tässä ohjeessa sanotaan taas näin:

"Sftp is cool because your able to transfer files and have everything ftp can do, but securely (no more sniffing passwords! w00t!). The only drawback is that it doesn't have the cool chrooting capabilities of wu-ftpd or proftpd (and probably others)."

http://chrootssh.sourceforge.net/docs/chrootedsftp.html

Varsinaisesti en osaa auttaa, kuten huomaat.

Ystävällisin terveisin Asmo Koskinen.

[Jantunen]

Itseasiassa tuolla palvelimella toimii kyllä jo ftp-serveri, vsftp, jonka konffaaminen chroottaamaan määritellyt käyttäjät on helppoa kuin heinänteko.
Ongelma on asiakkaiden paranoia, joka asettaa vaatimuksia nimenomaan tuon sftp:n käyttämiselle. (tämä siitä huolimatta, että siirrettävä data on käytännössä oikeasti vain kuvia, jotka on tarkoitettu laitettavaksi www-sivuille)

Se mikä saa minut epätoivon/raivon partaalle tässä on se, että olen säätänyt scponlyä käyttäen täysin toimivan ympäristön, mutta nyt en pysty toistamaan tuota toimenpidettä tuotantoympäristöön, vaikka käytin täysin samoja ohjeita ja ohjelmia ja ympäristöt ovat hyvin pitkälti identtiset...

Ja hakukoneet on laulanut koko eilisen ja tämän vuorokauden asiaan liittyen siihen malliin, että googlen näkökulmasta se on näyttänyt varmaan lähinnä floodaamiselta...

Eli jos joku on saanut ubuntu server 7.10:n sftp-käyttäjiä chrootattua onnistuneesti (per user), niin kaikki apu kelpaa. Perusidea on tämä:
-minulla on 1 ns. pääkäyttäjä, jolla pitää olla pääsy kaikkialle ssh:lla ja sftp:llä
-KAIKKI muut käyttäjät pitää pystyä pistämään omaan kotikansioonsa chrootattuna
-miel. mahdollisimman geneerisenä pitäisin tuon järjestelmän, jotta päivitykset tms eivät joka kerta aiheuttaisi mitään uudelleen-konfigurointirumbaa... (eli tuo openssh-patch, jolla käyttäjän kotikansion määrittelyssä voidaan kertoa sshd:lle mihin chroot, ei oikein tule käsittääkseni kysymykseen)

Tähän mennessä menestyksettä kokeiltu mm. rssh:ta sekä "manuaalisesti" käyttäjän chroottaamista kotikansioon replikoimalla riittävä ympäristö bash:in jne ajamiseksi chrootissa. Nämä viritykset päättyvät aina "connection closed" virheeseen...

[Asmo Koskinen]

Ongelma on asiakkaiden paranoia, joka asettaa vaatimuksia nimenomaan tuon sftp:n käyttämiselle. (tämä siitä huolimatta, että siirrettävä data on käytännössä oikeasti vain kuvia, jotka on tarkoitettu laitettavaksi www-sivuille)

Tuota noin, itse käytän Nebulan palvelua, se on kai jollain tasolla chrootattu/binäärit poistettu käytöstä - cd toimii, mutta ei ls:

Koodia: [Valitse]

[arkki@virtualserver5 ~]$ pwd
/home/customers/arkki
[arkki@virtualserver5 ~]$ cd ..
[arkki@virtualserver5 customers]$ ls
ls: .: Permission denied
[arkki@virtualserver5 customers]$
Voisiko tuosta paranoiasta neuvotella?

Ystävällisin terveisin Asmo Koskinen.

[Jantunen]

Luulenpa, ettei ls-komentoa voi tuolla tavalla "chrootata", vaan tuolla on /home-kansiossa luku- ja kirjoitusoikeudet vain pääkäyttäjällä ja muilla vain execute-oikeudet...

Voisiko tuosta paranoiasta neuvotella?

Jos itse kärsisin lentopelosta, voisiko siitä neuvotella?

No tietysti tämä on eri asia, mutta tilanne on siis TÄLLÄ hetkellä se, että tuolla on vain www-dataa, mutta käytännössä luulen, että tulevaisuudessa sinne sijoitetaan muutakin tavaraa...