Volt nemreg egy mukodo chroot-os scponly beallitas, amit meg az etch-ben raktam fel. Ez meg a lenny upgrade utan is mukodott (bar azt hiszem reboot nelkul zajlott le a dist-upgrade, es azota is folyamatosan megy a szerver), azonban ma egy ujabb hasonlo chroot-os scponly-t akartam beallitani a /usr/share/doc/scponly/setup-chroot -ban levo szkripttel, de nem sikerult eletet lehelni a dologba: * gftp-vel tesztelve (tobbek kozott) a password elkuldese utan csak var es var es nem tortenik semmi; * az /etc/scponly/debuglevel-t feljebb allitva az auth.log-ban *neha* a kovetkezot talaltam egy-egy probalkozas utan:
Feb 12 12:17:37 galilei sshd[16561]: Accepted keyboard-interactive/pam for scpuser from 152.66.33.80 port 43769 ssh2 Feb 12 12:17:37 galilei sshd[16561]: pam_unix(sshd:session): session opened for user scpuser by (uid=0) Feb 12 12:17:37 galilei sshd[16561]: subsystem request for sftp Feb 12 12:17:37 galilei scponly[16564]: chrooted binary in place, will chroot() Feb 12 12:17:37 galilei scponly[16564]: 3 arguments in total. Feb 12 12:17:37 galilei scponly[16564]: ^Iarg 0 is scponlyc Feb 12 12:17:37 galilei scponly[16564]: ^Iarg 1 is -c Feb 12 12:17:37 galilei scponly[16564]: ^Iarg 2 is /usr/lib/openssh/sftp-server Feb 12 12:17:37 galilei scponly[16564]: opened log at LOG_AUTHPRIV, opts 0x00000029 Feb 12 12:17:37 galilei sshd[16561]: pam_unix(sshd:session): session closed for user scpuser (A fenti *neha* az scponly debug-log-ra vonatkozik: azaz bizonyos probalkozasoknal nincs olyan log, csak az, hogy "subsystem requested for sftp" es aztan "session closed" ) Szoval az az abra, hogy probalkoztam a passwd-ben a kezdo dir allitgatasaval, aztan lattam, hogy a processzek kozott ket sftp-server is volt, azokat kilottem, es aztan most az a helyzet, ghogy a regi scponly user sem mukodik: ugyanugy hangup-ol a password elkuldese utan (ami persze jo, hiszen a pam szerint "accepted"). Lehetseges, hogy meg egy lenny elotti sftp-server processz futott, amivel mukodott a chrooted-scponly? (Ja, viszont az biztos, hogy az ssh-t ujrainditottam egy par hete, mert kivulrol a 22-es portot letiltottam es egy masikat allitottam be.) Na, mindegy... ha a problema nem ismeros, es tuti tipp nincs, akkor az lenne a kerdesem, hogy hogyan kellene azt megcsinalni, hogy * bizonyos userek rendesen hasznalhassak az sshd-t (ssh, sftp, stb.); * bizonyos userek neve alatt meg csak chroot-os sftp only szolgaltatashoz lehessen hozzaferni, normal ssh-hoz ne...? Lattam az sshd_config-ban olyan opciot, hogy ChrootDir, meg a man-ban olvastam olyat, hogy az internal-sftp subsystem-mel ez a chroot-os sftp eleg szimplan megoldahato, de akkor ez a beallitas kizarja a normal ssh hasznalatat, nem? Azaz a ket funkciohoz ket config file kell, es azokkal kell elinditani az sshd-t... A masik kerdes, hogy ha tobb ilyen scponly account lenne, akkor kicsit bonyolultnak erzem, hogy mindegyiknek kulon chroot-ot kelljen letrehozni... lehtne oket egy chroot-ba pakolni sajat incoming dir-rel, amit 2770-val egymas elol el is lehet zarni, nem? (Valoszinu, ha ez elobb eszembe jut, akkor most nem futok bele ebbe a nem mukodo scponly dologba... hanem majd csak vmikor kesobb :-) -- sZs _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
