Bevor wir unseren Server f\u00fcr andere Leute zur Verf\u00fcgung stellen, wollen wir nat\u00fcrlich sichergehen, dass da nichts passieren kann und wir ihnen den Zugriff so weit als nur m\u00f6glich einschr\u00e4nken. Zu diesem Zweck installieren wir uns das Paket RSSH, das f\u00fcr ‚Restricted SSH‘ steht – also etwas, wo man den SSH Zugang einschr\u00e4nkt.<\/p>\n
emerge -av rssh<\/p><\/blockquote>\n
Damit ist die grundlegende Installation erledigt und wir widmen uns nach vollzogenem Compile der Konfiguration. Damit unsere Gentoo Installation nun von der Shell etwas weis und sie verwenden darf, registrieren wir sie in der Liste der Shells, welche sich in \/etc\/shells befindet. Danach folgt ein kleiner Ausflug in die Datei \/etc\/rssh.conf, wo sich der eigentliche Zirkus nun abspielt. Hier ist meine Beispielkonfiguration:<\/p>\n
\n# This is the default rssh config file<\/p>\n
# set the log facility. „LOG_USER“ and „user“ are equivalent.
\nlogfacility = LOG_USER <\/p>\n# Leave these all commented out to make the default action for rssh to lock
\n# users out completely…<\/p>\nallowscp
\nallowsftp
\n#allowcvs
\n#allowrdist
\n#allowrsync<\/p>\n# set the default umask
\numask = 022<\/p>\n# If you want to chroot users, use this to set the directory where the root of
\n# the chroot jail will be located.
\n#
\n# if you DO NOT want to chroot users, LEAVE THIS COMMENTED OUT.
\n# chrootpath = \/home<\/p>\n# You can quote anywhere, but quotes not required unless the path contains a
\n# space… as in this example.
\n#chrootpath = „\/usr\/local\/my chroot“<\/p>\n##########################################
\n# EXAMPLES of configuring per-user options<\/p>\n#user=rudy:077:00010: # the path can simply be left out to not chroot
\n#user=rudy:077:00010 # the ending colon is optional<\/p>\n#user=rudy:011:00100: # cvs, with no chroot
\n#user=rudy:011:01000: # rdist, with no chroot
\n#user=rudy:011:10000: # rsync, with no chroot
\n#user=“rudy:011:00001:\/usr\/local\/chroot“ # whole user string can be quoted
\n#user=rudy:01″1:00001:\/usr\/local\/chroot“ # or somewhere in the middle, freak!
\n#user=rudy:’011:00001:\/usr\/local\/chroot‘ # single quotes too<\/p>\n# if your chroot_path contains spaces, it must be quoted…
\n# In the following examples, the chroot_path is „\/usr\/local\/my chroot“
\n#user=rudy:011:00001:“\/usr\/local\/my chroot“ # scp with chroot
\n#user=rudy:011:00010:“\/usr\/local\/my chroot“ # sftp with chroot
\n#user=rudy:011:00011:“\/usr\/local\/my chroot“ # both with chroot<\/p>\n# Spaces before or after the ‚=‘ are fine, but spaces in chrootpath need
\n# quotes.
\n#user = „rudy:011:00001:\/usr\/local\/my chroot“
\n#user = „rudy:011:00001:\/usr\/local\/my chroot“ # neither do comments at line end<\/p>\n<\/blockquote>\nSolltet ihr euch nur dazu entschieden haben, ssh zu unterbinden und z.B. scp zu erlauben, dann ist das Thema schon so gut wie erledigt und ihr k\u00f6nnt den Benutzern diese Shell zuweisen. <\/p>\n
Achtung: diese Shell NIE root zuweisen, da man sich sonst selbst aussperrt!<\/strong><\/p>\n
Unser n\u00e4chstes Thema hier heisst nun die User in chroots zu bannen um ihnen die g\u00e4ngigen M\u00f6glichkeit des Missbrauchs unseres Servers zu nehmen. Daf\u00fcr setzen wir den chrootpath in der rssh.conf und am Besten noch eine umask. Der Einfachheit halber m\u00f6chte ich alle Benutzer in \/home beheimaten. Also chroote ich auch dort.<\/p>\n
\numask = 022
\nchrootpath=“\/home“\n<\/p><\/blockquote>\nWir erinnern uns: Pakete haben Abh\u00e4ngigkeiten, damit sie laufen. Nun gilt es diese in unsere chroot-Umgebung zu fummeln:<\/p>\n
\ncd \/home
\nmkdir -p usr\/bin
\ncp \/usr\/bin\/scp usr\/bin
\ncp \/usr\/bin\/rssh usr\/bin
\nmkdir -p usr\/libexec
\ncp \/usr\/libexec\/rssh_chroot_helper usr\/libexec
\nmkdir -p usr\/lib\/misc
\ncp \/usr\/lib\/misc\/sftp-server usr\/lib\/misc\n<\/p><\/blockquote>\nDamit Dinge wie SCP auch korrekt laufen m\u00fcssen diese auf ihre Abh\u00e4ngigkeiten hin \u00fcberpr\u00fcft werden. Dies geschieht am Besten mit ldd:<\/p>\n
\nldd \/usr\/bin\/scp \r\n libutil.so.1 => \/lib\/libutil.so.1 (0x4001c000) \r\n libz.so.1 => \/usr\/lib\/libz.so.1 (0x4001f000) \r\n libnsl.so.1 => \/lib\/libnsl.so.1 (0x4002d000) \r\n libcrypto.so.0.9.6 => \/usr\/lib\/libcrypto.so.0.9.6 (0x40042000) \r\n libc.so.6 => \/lib\/libc.so.6 (0x40106000) \r\n libdl.so.2 => \/lib\/libdl.so.2 (0x40235000) \r\n \/lib\/ld-linux.so.2 => \/lib\/ld-linux.so.2 (0x40000000)<\/pre>\n<\/blockquote>\nDa SCP ohne diese Abh\u00e4ngigkeiten nicht l\u00e4uft, kopieren wir die Abh\u00e4ngigkeiten. Theoretisch k\u00f6nnte man genauso gut auch Symlinks setzen, doch rate ich davon ab, da man damit die Abschottung der chroots wieder durchbricht und somit am echten System Schaden anrichten k\u00f6nnte und der ganze Aufwand des chroots somit umsonst w\u00e4re.<\/p>\n
\ncd \/home
\nmkdir lib
\ncp \/lib\/libutil.so.1 lib
\ncp \/lib\/libnsl.so.1 lib
\ncp \/lib\/libc.so.6 lib
\ncp \/lib\/libdl.so.2 lib
\ncp \/lib\/ld-linux.so.2 lib
\nmkdir -p usr\/lib
\ncp \/usr\/lib\/libz.so.1 usr\/lib
\ncp \/usr\/lib\/libcrypto.so.0.9.6 usr\/lib\n<\/p><\/blockquote>\nDie selbe \u00dcbung gilt es nun auch noch f\u00fcr die anderen Dateien zu machen, wie rssh, rssh_chroot_helper, den sftp_server und was noch alles in dem chroot angeboten werden soll. Dann wird es f\u00fcr unseren Testuser ernst, wenn wir ihm die Shell zuweisen: usermod -s \/usr\/bin\/rssh testuser <\/p>\n
Unser Testlauf:<\/p>\n
sftp testuser@example.com
\nConnecting to example.com…
\ntestuser@example.com’s password:
\nsftp> ls
\n.
\n..
\n.bash_profile
\n.bashrc
\nsftp> pwd
\nRemote working directory: \/testuser
\nsftp> exit\n<\/p><\/blockquote>\nUnd nun das verbotene SSH:<\/p>\n
ssh testuser@example.com
\ntestuser@example.com’s password: <\/p>\nThis account is restricted to scp or sftp. <\/p>\n
If you believe this is in error, please contact your system administrator. <\/p>\n
Connection to example.com closed.\n<\/p><\/blockquote>\n
… und da geht er hin – bzw seine Verbindung. Wenn man nun den SSH Dienst oder die Shell updated, sollte man die chroots nicht vergessen, da diese sonst noch immer auf den alten Dateien und Libraries laufen, was sich negativ auf die Systemsicherheit auswirkt.<\/p>","protected":false},"excerpt":{"rendered":"
Bevor wir unseren Server f\u00fcr andere Leute zur Verf\u00fcgung stellen, wollen wir nat\u00fcrlich sichergehen, dass da nichts passieren kann und wir ihnen den Zugriff so weit als nur m\u00f6glich einschr\u00e4nken. Zu diesem Zweck installieren wir uns das Paket RSSH, das f\u00fcr ‚Restricted SSH‘ steht – also etwas, wo man den SSH Zugang einschr\u00e4nkt. emerge -av rssh<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[244,39,170,346],"class_list":["post-1138","post","type-post","status-publish","format-standard","hentry","category-it-related-stuff","tag-chroot","tag-gentoo","tag-security","tag-ssh"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=1138"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1138\/revisions"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=1138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=1138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=1138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}