rsyslogd, sftp, chroot - logowanie zdarzeń internal-sftp

[Adam s]

Witam*.*
Mam małe pytan*ie* dot*yczące* rsyslogd, a mianowicie, chciałbym logować
wszystkie zdarzenia z subsystemu internal-sftp użytkowników objętych
środowiskiem chroot (jakie pliki były pobierane, kasowane, uploadowane przez
użytkowników). Użytkownicy ci nie posiadają dostępu do powłoki:
Kod:

usrmod -g user /bin/false

sshd.config ustawiony dla grupy użytkowników środowiska chroot w poniższy
sposób:

 Kod:

Match Group sftponly

ChrootDirectory /home/%u
X11 Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -f Local0 -l Verbose

Powyższe działa bez zarzutu jeśli użytkownik ma dostęp do powłoki i nie jest
objęty środowiskiem chroot. Wszystkie zdarzenia internal-sftp są logowane.
Brak natomiast logów dla użytkowników objętych środowiskiem chroot oraz
nieposiadających dostępu do powłoki.

Znalazłem takie rozwiązanie http://www.debian-administration.org/ar ...
tDirectoryhttp://www.debian-administration.org/article/637/OpenSSH_logging_with_ChrootDirectoryjednak
nie zadziałało.

System: Debian-6, OpenSSH_5.5p1

Będę bardzo wdzięczny za podpowiedzi.

Adam

Problem z instalacją Linux From Scratch = CHROOT

[Aleksander Kurczyk]

Witam
Już kiedyś pisałem tutaj w tej sprawie, jednak wtedy nie udało mi się
uzyskać rozwiązania mojego problemu. Teraz postanowiłem jeszcze raz
spróbować zainstalować Linux From Scratch, jednak teraz korzystając ze
skryptów które zamieszczam poniżej. Mój problem dotyczy polecenia z
rozdziału 6.4 podręcznika LFS. Mianowicie po wykonaniu polecenia, program
chroot zwraca błąd informujący o braku pliku lub katalogu /tools/bin/bash.
Plik o którym mowa oczywiście istnieje. Całą instalację wykonuję w
wirtualnej maszynie VirtualBox (poprzednim razem w Vmware Workstation),
korzystają z płyty Live CD projektu LFS.

Polecenia które wykonuję na maszynie, po uruchomieniu jej z  płyty Live CD
projektu LFS:
wget 78.88.20.95/instalator  chmod +x instalator  ./instalator
#Skrypt poprosi mnie o utworzenie partycji oraz o podanie hasła dla
użytkownika LFS.
wget 78.88.20.95/instalator2  chmod +x instalator2  ./instalator2
wget 78.88.20.95/instalator3  chmod +x instalator3  ./instalator3
exit #Wyjście z bash
exit #Wyjście z su
wget 78.88.20.95/instalator4  chmod +x instalator4  ./instalator4
#Teraz powinienem być już w środowisku chroot, jednak zamiast tego otrzymuję
błąd o którym już pisałem.

Skrypt instalator:
#!/bin/bash
cfdisk /dev/hda
mke2fs -jv /dev/hda2
mkswap /dev/hda1
export LFS=/mnt/lfs
mkdir -pv $LFS
mount -v -t ext3 /dev/hda2 $LFS
/sbin/swapon -v /dev/hda1
mkdir -v $LFS/sources
chmod -v a+wt $LFS/sources
cd $LFS/sources
wget http://www.linuxfromscratch.org/lfs/view/stable/wget-list
wget -i wget-list
mkdir -v $LFS/tools
ln -sv $LFS/tools /
groupadd lfs
useradd -s /bin/bash -g lfs -m -k /dev/null lfs
passwd lfs
chown -v lfs $LFS/tools
chown -v lfs $LFS/sources
su - lfs

Skrypt instalator2:
#!/bin/bash
#bash_profile
cat  ~/.bash_profile  EOF
exec env -i HOME=$HOME TERM=$TERM PS1='\u:\w\$ ' /bin/bash
EOF
#bashrc
cat  ~/.bashrc  EOF
set +h
umask 022
LFS=/mnt/lfs
LC_ALL=POSIX
LFS_TGT=$(uname -m)-lfs-linux-gnu
PATH=/tools/bin:/bin:/usr/bin
export LFS LC_ALL LFS_TGT PATH
EOF
#source
source ~/.bash_profile

Skrypt instalator3:
#!/bin/bash
#Binutils
cd $LFS/sources
tar -jxf binutils-2.19.1.tar.bz2
cd binutils-2.19.1
mkdir -v ../binutils-build
cd ../binutils-build
../binutils-2.19.1/configure \
--target=$LFS_TGT --prefix=/tools \
--disable-nls --disable-werror
make
case $(uname -m) in
  x86_64) mkdir -v /tools/lib  ln -sv lib /tools/lib64 ;;
esac
make install
#GCC
cd $LFS/sources
tar -jxf gcc-4.4.1.tar.bz2
cd gcc-4.4.1
tar -jxf ../mpfr-2.4.1.tar.bz2
mv -v mpfr-2.4.1 mpfr
tar -jxf ../gmp-4.3.1.tar.bz2
mv -v gmp-4.3.1 gmp
mkdir -v ../gcc-build
cd ../gcc-build
../gcc-4.4.1/configure \
--target=$LFS_TGT --prefix=/tools \
--disable-nls --disable-shared --disable-multilib \
--disable-decimal-float --disable-threads \
--disable-libmudflap --disable-libssp \
--disable-libgomp --enable-languages=c
make
make install
ln -vs libgcc.a `$LFS_TGT-gcc -print-libgcc-file-name | \
sed 's/libgcc/_eh/'`
#Linux
cd $LFS/sources
tar -jxf linux-2.6.30.2.tar.bz2
cd linux-2.6.30.2
make mrproper
make headers_check
make INSTALL_HDR_PATH=dest headers_install
cp -rv dest/include/* /tools/include
#Glibc
cd $LFS/sources
tar -jxf glibc-2.10.1.tar.bz2
cd glibc-2.10.1
cp -v nptl/sysdeps/unix/sysv/linux/i386/i486/lowlevellock.S{,.orig}
sed -e 's/FUTEX_WAIT\( | FUTEX_CLOCK_REALTIME, reg\)/FUTEX_WAIT_BITSET\1/' \
nptl/sysdeps/unix/sysv/linux/i386/i486/lowlevellock.S.orig \
nptl/sysdeps/unix/sysv/linux/i386/i486/lowlevellock.S
mkdir -v ../glibc-build
cd ../glibc-build
case `uname -m` in
  i?86) echo CFLAGS += -march=i486 -mtune=native  configparms ;;
esac
../glibc-2.10.1/configure --prefix=/tools \
--host=$LFS_TGT --build=$(../glibc-2.10.1/scripts/config.guess) \
--disable-profile --enable-add-ons \
--enable-kernel=2.6.18 --with-headers=/tools/include \
libc_cv_forced_unwind=yes libc_cv_c_cleanup=yes
make
make install
#Binutils2
cd $LFS/sources
tar -jxf binutils-2.19.1.tar.bz2
cd binutils-2.19.1
mkdir -v ../binutils-build
cd ../binutils-build
CC=$LFS_TGT-gcc -B/tools/lib/ \
   AR=$LFS_TGT-ar RANLIB=$LFS_TGT-ranlib \
   ../binutils-2.19.1/configure --prefix=/tools \
   --disable-nls --with-lib-path=/tools/lib
make
make install
make -C ld clean
make -C ld LIB_PATH=/usr/lib:/lib
cp -v ld/ld-new /tools/bin
#GCC2
cd $LFS/sources
tar -jxf gcc-4.4.1.tar.bz2
cd gcc-4.4.1
patch -Np1 -i ../gcc-4.4.1-startfiles_fix-1.patch
cp -v gcc/Makefile.in{,.orig}
sed 's...@\./fixinc\...@-c true@' gcc/Makefile.in.orig  gcc/Makefile.in
cp -v gcc/Makefile.in{,.tmp}
sed 's/^T_CFLAGS =$/ -fomit-frame-pointer/' gcc/Makefile.in.tmp \
   gcc/Makefile.in
for file in \
 $(find gcc/config -name linux64.h -o -name linux.h -o -name sysv4.h)
do
  cp -uv $file{,.orig}
  sed -e 's@/lib\(64\)\?\(32\)\?/ld@/tools@g' \
  -e 's@/usr@/to...@g' $file.orig  $file
  echo '
#undef STANDARD_INCLUDE_DIR
#define STANDARD_INCLUDE_DIR 0
#define STANDARD_STARTFILE_PREFIX_1 
#define STANDARD_STARTFILE_PREFIX_2 '  $file
  touch $file.orig
done
case

Re: Etch mysql 5 vs chroot

[Wojciech Ziniewicz]

07-03-09, Krzysztof Jastrzębski [EMAIL PROTECTED] napisał(a):

Puścił ktoś (z sukcesem) 5-tkę pod Etch'em w chroot ?
Na forach mysql nic nie znalazłem (pewnie ze źródeł grzeją i na innych
distrach niż Debian). Google też jakby nie zanotowały podobnej
konfiguracji...



tak , na 2 serwerach produkcyjnych. jedyne co sie wysypało to jakieś
badziewne stronki napisane w multi-joinami ;)

pzdr.

--
Wojciech Ziniewicz
Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl
ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje
ct;umount;makeclean; zip;split;done;exit:xargs!!;)}

Re: Etch mysql 5 vs chroot

[Krzysztof Jastrzębski]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Wojciech Ziniewicz napisał(a):

 tak , na 2 serwerach produkcyjnych. jedyne co sie wysypało to jakieś
 badziewne stronki napisane w multi-joinami ;)

Mam prośbę.
Mogłbyś mi wkleić linijki w oryginalnych paczkowych konfigach które
zmieniałeś na swoje ?

Typu:

init.d/mysql: w linii x za startem dodałem some_command po posadzeniu
some_command

etc/my.cnf: zmieniłem z parametr na z parametr

Do /chrootdir skopiowałem mu some_katalog_ale_caly oraz plik plik ze
zmianami takimi_a_takimi

etc.

Chodzi o *WSZYSTKIE* zabiegi które przedsięwziąłeś bo może nie
pomyślałem o czymś oczywistym...

- --
Pozdrawiam Krzysztof Jastrzębski 
Jotka Usługi Informatyczne
jotka[at]jastrzebscy[dot]pl http://jotka.jastrzebscy.pl/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFF9Tj+15F9sjoDAtARAgRaAJ4z6AysxcFQMh2V6imEQvI53JQzHwCfWU5y
D8/l0q1WrXq7tPuD7A0Lavc=
=JqR+
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Etch mysql 5 vs chroot

[Wojciech Ziniewicz]

12-03-07, Krzysztof Jastrzębski [EMAIL PROTECTED] napisał(a):

Mam prośbę.
Mogłbyś mi wkleić linijki w oryginalnych paczkowych konfigach które
zmieniałeś na swoje ?

Typu:

init.d/mysql: w linii x za startem dodałem some_command po posadzeniu
some_command

etc/my.cnf: zmieniłem z parametr na z parametr

Do /chrootdir skopiowałem mu some_katalog_ale_caly oraz plik plik ze
zmianami takimi_a_takimi

etc.


Od defaultowego konfiga różni sie tylko poniższym
Basic settings ustawione na :
[...]
skip-external-locking
character-set-server= latin2
default-character-set   = latin2
default-collation   =   latin2_general_ci
old_passwords = true
[...]
#
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address= 217.17.BLA.x

Moze moja sytuacja jest ciut inna bo obydwa mysqle śmigają w XENie a
nie w chroocie.
Zaznaczam ze serwer nie był upgradowany do 5. To był nowy serwer do
ktorego przeniosłem po prostuwszystkie bazy.

--
Wojciech Ziniewicz
Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl
ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje
ct;umount;makeclean; zip;split;done;exit:xargs!!;)}

Etch mysql 5 vs chroot

[Krzysztof Jastrzębski]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

mysql w Debianie Sarge (tam jest 4) chodzi w chroot bez problemu.
Oryginalny my.cnf przerzuciłem do $CHROOTDIR a w /etc/mysql/ w sekcjach
[client] i [mysqld_safe] podmieniłem:
socket  = $CHROOTDIR/var/run/mysqld/mysqld.sock
W /etc/init.d/mysql po starcie dodałem:
sleep 5  ln $CHROOTDIR$MYSOCKET $MYSOCKET
(bo niektóre aplikacje poza $CHROOTDIR tego socketu potrzebują)
... a po ubiciu:
rm $CHROOTDIR$MYSOCKET $MYSOCKET

Ale zrobiłem dist-upgrade do Etch'a (tu mysql jest 5) i kupę nowych
rzeczy w skryptach.
Jest /etc/mysql/debian-start w dodatku bierze coś z:
source /usr/share/mysql/debian-start.inc.sh
... no i pojawiły się problemy.

Teoretycznie wszystko działa nawet SSL i replikację udało się w tym
układzie zestroić.
Miałbym złudne wrażenie że jest O.K. gdyby nie logi:

ania /etc/mysql/debian-start[29907]: Upgrading MySQL tables if necessary.
ania /etc/mysql/debian-start[29910]: Can't find data directory. Please
restart with --datadir=path-to-writable-data-dir

ania mysqld[30093]: 070309  9:35:06 [ERROR] Do you already have another
mysqld server running on socket: /chroot/var/run/mysqld/mysqld.sock ?
ania mysqld[30093]: 070309  9:35:06 [ERROR] Aborting
ania mysqld[30093]: 070309  9:35:06  InnoDB: Starting shutdown...

ania mysqld[5583]: 070307 16:26:18  InnoDB: Retrying to lock the first
data file
ania mysqld[5583]: InnoDB: Unable to lock ./ibdata1, error: 11
ania mysqld[5583]: InnoDB: Check that you do not already have another
mysqld process
ania mysqld[5583]: InnoDB: using the same InnoDB data or log files.

ania mysqld[5583]: InnoDB: zeros, but did not yet use them in any way.
But be careful: do not
ania mysqld[5583]: InnoDB: remove old data files which contain your
precious data!
ania mysqld[5583]: 070307 16:27:58 [Note] /usr/sbin/mysqld: Zakończenie
działania

etc.

W dodatku w połowie przypadków (5 na 10) mysql nie startuje co jest
problemem w przy nocnych backupach do których jest składany i trzeba go
rano stawiać z palucha.
Na razie test na workstacji ale lada dzień Etch wyjdzie i po
dist-upgrade staną mi produkcyjne serwery (autoryzacja poczty
qmail+vpopmail - jak mysql nie wstanie po nocnym backupie to userzy będą
mnie rano budzić... :-))

Puścił ktoś (z sukcesem) 5-tkę pod Etch'em w chroot ?
Na forach mysql nic nie znalazłem (pewnie ze źródeł grzeją i na innych
distrach niż Debian). Google też jakby nie zanotowały podobnej
konfiguracji...

- --
Pozdrawiam Krzysztof Jastrzębski 
Jotka Usługi Informatyczne
jotka[at]jastrzebscy[dot]pl http://jotka.jastrzebscy.pl/
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFF8TKu15F9sjoDAtARAh6rAKCXRfPNfAj9PgwgBxgXXSoCgMwSOACeLTuQ
v0sD9g0Lh4C1b18zm8XDBtY=
=PuPg
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

team-speak w chroot

[Marcin Bieniaszewski]

hejka

czy ktos z Was zamykal w chroot team-speak na debianie ?

jak do tego najlepiej sie zabrac ? jest jakis automat ktory zamknie mi
dany program w chroot ?

niestety team-speak nie ma w paczkach debiana, sciagam binarki ze
strony projektu ...

podpowiedzcie prosze

pozdro
bieniu


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: team-speak w chroot

[Wojciech Ziniewicz]

2006/9/7, Marcin Bieniaszewski [EMAIL PROTECTED]:

hejka

czy ktos z Was zamykal w chroot team-speak na debianie ?

jak do tego najlepiej sie zabrac ? jest jakis automat ktory zamknie mi
dany program w chroot ?

niestety team-speak nie ma w paczkach debiana, sciagam binarki ze
strony projektu ...

podpowiedzcie prosze


to bedzie pomocne :

# apt-cache search chroot
chrootuid - Run commands in restricted environments
cvsd - chroot wrapper to run `cvs pserver' more securely

.jailtool - Tool to build chroot-jails for daemons 

[...]



--
Wojciech Ziniewicz|  jid:[EMAIL PROTECTED]
http://silenceproject.org   | http://zetho.wordpress.com


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Bind9, chroot, problemy...

[Grzesiek Szymanski]

Konfiguracje robiłem według http://www.howtoforge.com/howto_bind_chroot_debian.
Czemu sie tworza pliki tymczasowe? 
W named.conf.options jest directory /var/cache/bind;

Aug  1 19:35:10 student named[14427]: zone mojadomena.pl/IN: loading master 
file /var/lib/named/etc/bind/M/strefa.mojadomena.pl: file not found

Dzieje sie tak mimo, ze taki plik istnieje 
/var/lib/named/etc/bind/M/strefa.mojadomena.pl

Bede bardzo wdzieczny za jakies wskazowki
Pozdrawiam.


Aug  1 19:35:07 student named[14226]: shutting down: flushing changes
Aug  1 19:35:07 student named[14226]: stopping command channel on 127.0.0.1#953
Aug  1 19:35:07 student named[14226]: stopping command channel on ::1#953
Aug  1 19:35:07 student named[14226]: no longer listening on 127.0.0.1#53
Aug  1 19:35:07 student named[14226]: no longer listening on 193.111.146.13#53
Aug  1 19:35:07 student named[14226]: exiting
Aug  1 19:35:10 student named[14427]: starting BIND 9.3.2 -u bind -t 
/var/lib/named
Aug  1 19:35:10 student named[14427]: found 1 CPU, using 1 worker thread
Aug  1 19:35:10 student named[14427]: loading configuration from 
'/etc/bind/named.conf'
Aug  1 19:35:10 student named[14427]: listening on IPv4 interface lo, 
127.0.0.1#53
Aug  1 19:35:10 student named[14427]: listening on IPv4 interface eth0, 
111.111.111.13#53
Aug  1 19:35:10 student named[14427]: command channel listening on 127.0.0.1#953
Aug  1 19:35:10 student named[14427]: command channel listening on ::1#953
Aug  1 19:35:10 student named[14427]: zone 0.in-addr.arpa/IN: loaded serial 1
Aug  1 19:35:10 student named[14427]: zone 127.in-addr.arpa/IN: loaded serial 1
Aug  1 19:35:10 student named[14427]: zone 111.111.111.in-addr.arpa/IN: loading 
master file /var/lib/named/etc/bind/M/146.111.193.in-addr.arpa: file not found
Aug  1 19:35:10 student named[14427]: zone 255.in-addr.arpa/IN: loaded serial 1
Aug  1 19:35:10 student named[14427]: zone localhost/IN: loaded serial 1
Aug  1 19:35:10 student named[14427]: zone mojadomena.pl/IN: loading master 
file /var/lib/named/etc/bind/M/strefa.mojadomena.pl: file not found
Aug  1 19:35:10 student named[14427]: zone mojadomena.pl/IN: loading master 
file /var/lib/named/etc/bind/M/strefa.mojadomena.pl: file not found
Aug  1 19:35:10 student named[14427]: running
Aug  1 19:35:10 student named[14427]: zone innadomena.pl/IN: Transfer started.
Aug  1 19:35:10 student named[14427]: zone innadomena2.pl/IN: Transfer started.
Aug  1 19:35:10 student named[14427]: zone innadomena3.pl/IN: zone transfer 
deferred due to quota
Aug  1 19:35:10 student named[14427]: zone www.innadomena4.pl/IN: zone transfer 
deferred due to quota
Aug  1 19:35:10 student named[14427]: transfer of 'innadomena1.pl/IN' from 
222.222.222.130#53: connected using 111.111.111.13#52653
Aug  1 19:35:10 student named[14427]: transfer of 'innadomena2.pl/IN' from 
222.222.222.130#53: connected using 111.111.111.13#46197
Aug  1 19:35:10 student named[14427]: dumping master file: 
/var/lib/named/etc/bind/S/tmp-ZisEyxSv8N: open: file not found
Aug  1 19:35:10 student named[14427]: transfer of 'innadomena1.pl/IN' from 
222.222.222.130#53:  failed while receiving responses: file not found
Aug  1 19:35:10 student named[14427]: dumping master file: 
/var/lib/named/etc/bind/S/tmp-kqkaP2bzIh: open: file not found
Aug  1 19:35:10 student named[14427]: zone kolejnadomena.pl/IN: Transfer 
started.
Aug  1 19:35:10 student named[14427]: dumping master file: 
/var/lib/named/etc/bind/S/tmp-VO7VBZ55Oz: open: file not found



Cesaria Evora we Wrocławiu! Królowa World Music
zaśpiewa 6 sierpnia podczas Wrocław Summer Guitar  Folk Festival.
http://klik.wp.pl/?adr=http%3A%2F%2Fadv.reklama.wp.pl%2Fas%2Fcesaria2.htmlsid=834



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

debian i chroot

[Wojciech Ziniewicz]

Witam,
Proszę mi polecić howto do chrootowania userow pod debianem. Najlepiej
po polsku.

Pozdrawiam ;)

--
Wojciech Ziniewicz|  jid:[EMAIL PROTECTED]
http://silenceproject.org   | http://zetho.wordpress.com

Re: debian i chroot

[Grzegorz Szymański]

On Wednesday 21 June 2006 14:30, Wojciech Ziniewicz wrote:
 Witam,
 Proszę mi polecić howto do chrootowania userow pod debianem. Najlepiej
 po polsku.

 Pozdrawiam ;)
Ja znalazłem takie coś: http://pld.linux.edu.pl/chroot
Ale są ich hektyliony. ;)
-- 
Grzegorz Szymański | mailto:[EMAIL PROTECTED] | pgp:0x14A27314
jabber ID: [EMAIL PROTECTED]

--
Zobacz nowosci salonu moto w Madrycie  http://link.interia.pl/f1961

Re: debian i chroot

[Wojciech Ziniewicz]

06-06-21, Grzegorz Szymański [EMAIL PROTECTED] napisał(a):

On Wednesday 21 June 2006 14:30, Wojciech Ziniewicz wrote:
 Witam,
 Proszę mi polecić howto do chrootowania userow pod debianem. Najlepiej
 po polsku.

 Pozdrawiam ;)
Ja znalazłem takie coś: http://pld.linux.edu.pl/chroot
Ale są ich hektyliony. ;)

raczej piardyliardy :P
ano dzieki serdeczne to mi wystarczy.

nie mam czasu na szukanie i zastanawianie sie co pominąlem a potrzbuje
miec szybkiego chroota z deboostrapa.

pzdr!
--
Wojciech Ziniewicz|  jid:[EMAIL PROTECTED]
http://silenceproject.org   | http://zetho.wordpress.com

Re: chroot

[hipiss]

fragment z moich logow dot. nieudanej
proby zlaogowania z uzera hipiss na uzytkownika peon
przy pomocy su

/var/log/auth.log

Jun  4 12:05:32 jogi su[22634]: + pts/36 hipiss-peon
cze  4 12:05:32 jogi PAM_unix[22634]: (su) session opened for user peon by
hipiss(uid=1000)
Jun  4 12:05:32 jogi sudo: peon : TTY=pts/36 ; PWD=/home/hipiss/cproby ;
USER=root ; COMMAND=/usr/sbin/chroot /home/peon /bin/su - peon

po podaniu hasla
pada odpowiedz pt..Sorry.
i nieloguje sie..

Pozdrawiam

hipiss

Re: chroot

[Grzegorz Ludwiczek]

  http:///www.tjw.org/chroot-login-HOWTO/
  no i ... nie dziala :-(

  Stawiam ze trzeba zamieszac z su (nie otwiera mi sie stronka wiec nie
  wiem co tam pisze).

 za duzo slashy w adresie za http :]
 usun jednego i bedzie ok :)

O faktycznie, nie wpadlo mi w oko :)

 mozesz mi wyslac :)
 lfe[at]ghnet[.]pl
 [czeka mnie to niebawem i powoli zaczynam zbierac informacje]
A tekst okazuje się jest ten sam :), tylko zauważyłem jedną rzecz u siebie,
jak próbuję zalogować się bezpośrednio na serwerze na schrootowanym koncie,
to też mnie wywala, natomiast działa i po połączeniu przez ssh i po
przejściu przez su z roota, tylko bezposredni login na maszynie nie działa i
co gorsza, jak dla mnie w logach nie mam nic co by mnie naprowadziło
dlaczego

Druga uwaga, która prędzej czy później Wam wyjdzie pewnie, musicie do
schrootowanego środowiska zamountować jeszcze /proc, bo większość aplikacji
(np.ncursowych) nie chce bez tego działać (np. mc :) ), co ciekawe będzie to
ten sam proc co w roocie, więc jak sami twórcy (bodajże chroota) napisali,
jest to teoretyczne miejsce przez które można jednak włamać się na serwer,
na pełny system, polecam w związku z tym założenie np patch openwall na
kernela.

Trzecia uwaga, jak będziecie chcieli za dużo aplikacji różnych dziwnych
udostępnić, to będziecie musieli też zrobić pewnie ldconfiga na
schrootowanym środowisku. (Ogólnie u mnie (mamy własną aplikację
terminalową), zrobienie chroota to dość dużo roboty :) =

Cywarta uwaga, za jakiś czas pewnie poskładam swoje różne uwagi i
doświadczenia dotyczące chroota itp, i wtedy może postawię jakąś stronkę z
nimi i nie omiesykam poslac wiadomosci na liste.


--
Lacze rozne wyrazy i pozdrawiam
Grzegorz Ludwiczek
[EMAIL PROTECTED]
+48 696 041203
GG 2761695

Re: chroot

[hipiss]

przepraszam 
wszystkich za o jeden zaduzo... /nadal mam ten sam problem;..malo tego 
probowalem to zrobic nawet na iinym serwerze...i tez nic z 
tego...nadal wyskakuje mi poprostu "sorry"w logi patrzylem ale za 
duzo nie widze..ktos ma jeszcze jakiegos 
pomysla..?pozdrawiamhipiss

Re: chroot

[hipiss]

hm. przekompilowalem su 
i teraz dostaje komunikat 
"/bin/su: user peon does not exist"
gdzie go dodac...??
gdy zminiam w /etc/passwd powloke na 
/bin/bash
to moge siem zalogowac normalnie do katalogu 
okreslonego w /etc/passwd?

Pozdrawiam

hipiss

Re: chroot

[Grzegorz Ludwiczek]

 hm. przekompilowalem su
 i teraz dostaje komunikat
 /bin/su: user peon does not exist
 gdzie go dodac...??
 gdy zminiam w /etc/passwd powloke na /bin/bash
 to moge siem zalogowac normalnie do katalogu okreslonego w /etc/passwd?

a w katalogu z chrootem masz /etc/passwd ? z dopisanym uzytkownikiem peon z
tym samym uid co w roocie ?



--
Łączę różne wyrazy i pozdrawiam
Grzegorz Ludwiczek
[EMAIL PROTECTED]
+48 696 041203
GG 2761695

Re: chroot

[hipiss]

  peon:x:1036:1036::/home/peon:/bin/chroot-shell
  dla /home/peon/etc/passwd
tutaj powinno byc
ale poprostu zle przepisalem... 
  peon:x:1036:1036:/home:/bin/bash
 
  hipiss

  nie zmieniles /etc/sudoers ?
 powinno byc - peon   ALL= NOPASSWD: /usr/sbin/chroot /home/peon /bin/su -
 peon*
zmienilem...

pozdrawiam

hipiss

Re: chroot

[Grzegorz Ludwiczek]

   peon:x:1036:1036::/home/peon:/bin/chroot-shell
   dla /home/peon/etc/passwd
 tutaj powinno byc
 ale poprostu zle przepisalem...
   peon:x:1036:1036:/home:/bin/bash
  
   hipiss

   nie zmieniles /etc/sudoers ?
  powinno byc - peon   ALL= NOPASSWD: /usr/sbin/chroot /home/peon /bin/su
  - peon*
 zmienilem...

To podaj dokladnie jakie masz komunikaty, z logow tez



--
Łączę różne wyrazy i pozdrawiam
Grzegorz Ludwiczek
[EMAIL PROTECTED]
+48 696 041203
GG 2761695

chroot

[hipiss]

wygoglalem sobie stronke...
http:///www.tjw.org/chroot-login-HOWTO/
no i ... nie dziala :-(
czy ktos kto juz zrobil u siebie chroot-a dla 
userow
moglby sie ze mna podzielic informacjami 
dlaczego
po zalogowaniu ukazuje sie komunikat 
"sorry"
i nastepuje wylogowanie 


pozdrawiam

hipiss

Re: chroot

[Krzysztof Jóźwiak]

Dnia śro 2. czerwca 2004 12:58, [EMAIL PROTECTED] napisał:
 wygoglalem sobie stronke...
 http:///www.tjw.org/chroot-login-HOWTO/
 no i ... nie dziala :-(
 czy ktos kto juz zrobil u siebie chroot-a dla userow
 moglby sie ze mna podzielic informacjami dlaczego
 po zalogowaniu ukazuje sie komunikat sorry
 i nastepuje wylogowanie

Powiem tak:
deb http://debian.home-dn.net/woody/ ssh/

skrypt do zakladania uzytkownikow moge Ci na priva wysłac..



 pozdrawiam

 hipiss

-- 
Pozdrawiam  
Krzysztof Jóźwiak   

Administrator serwerów linuksowych 
w firmie Laser Systemy Informatyczne S.A. (www.laser.pl)
tel. +42 630 66 77 w. 126
ul. Trauguta 21/23, Łódź 90-113

Re: chroot

[Grzegorz Ludwiczek]

 wygoglalem sobie stronke...
 http:///www.tjw.org/chroot-login-HOWTO/
 no i ... nie dziala :-(
 czy ktos kto juz zrobil u siebie chroot-a dla userow
 moglby sie ze mna podzielic informacjami dlaczego
 po zalogowaniu ukazuje sie komunikat sorry
 i nastepuje wylogowanie

Stawiam ze trzeba zamieszac z su (nie otwiera mi sie stronka wiec nie wiem
co tam pisze). Albo trzeba dopisac do /etc/sudoers uprawnienia dla
uzytkownika, albo trzeba przekompilowac su.
Na wszelki wypadek wyślę to z czego ja robiłem na priva (dluzszy tekst wiec
nie puszczam na piste)



--
Łączę różne wyrazy i pozdrawiam
Grzegorz Ludwiczek
[EMAIL PROTECTED]
+48 696 041203
GG 2761695

Re: chroot

[Jaroslaw Bylina]

 wygoglalem sobie stronke...
 http:///www.tjw.org/chroot-login-HOWTO/
 no i ... nie dziala :-(
 czy ktos kto juz zrobil u siebie chroot-a dla userow
 moglby sie ze mna podzielic informacjami dlaczego
 po zalogowaniu ukazuje sie komunikat sorry
 i nastepuje wylogowanie 

U mnie dziala -- dokladnie wedlug tej stronki. Zwroc uwage na to,
co pisza o 'su' -- ze najlepiej skompilowac samemu (jest odnosnik
do dokaladnego opisu krok po kroku) bez wspolpracy z pam-em. To chyba o
to chodzi...

pzdr,
jmb

PS. A moze jeszcze jedno: tam pisza o pewnych bibliotekach
nie wykazywanych przez ldd (aczkolwiek nie wiem na ile to ma
zastosowanie -- ja przegralem troche wiecej bibliotek niz trzeba :)).

Re: chroot

[Marcin]

Witajcie,

 http:///www.tjw.org/chroot-login-HOWTO/
 no i ... nie dziala :-(

 Stawiam ze trzeba zamieszac z su (nie otwiera mi sie stronka wiec nie wiem
 co tam pisze).

za duzo slashy w adresie za http :]
usun jednego i bedzie ok :)
[jest napisane nie pisze , przepraszam nie wytrzymalem :P
tepiono mnie zawsze za ten zwrot i tak mi zostal taki uraz hehe
prosze o wybaczenie :P]

 Grzegorz Ludwiczek [EMAIL PROTECTED]
 Na wszelki wypadek wyślę to z czego ja robiłem na priva (dluzszy tekst wiec
 nie puszczam na piste)

mozesz mi wyslac :)
lfe[at]ghnet[.]pl

 Krzysztof Jóźwiak [EMAIL PROTECTED]  (Laser - Systemy Infomratyczne)
 skrypt do zakladania uzytkownikow moge Ci na priva wysłac..

mozesz mi tez wyslac ?
lfe[at]ghnet[.]pl

[czeka mnie to niebawem i powoli zaczynam zbierac informacje]

-- 
Pozdrawiam,
Marcin.

Re: chroot

[Jaroslaw Bylina]

[ciach]
  Grzegorz Ludwiczek [EMAIL PROTECTED]
  Na wszelki wypadek wyślę to z czego ja robiłem na priva (dluzszy tekst wiec
  nie puszczam na piste)
 
 mozesz mi wyslac :)
 lfe[at]ghnet[.]pl
 
  Krzysztof Jóźwiak [EMAIL PROTECTED]  (Laser - Systemy Infomratyczne)
  skrypt do zakladania uzytkownikow moge Ci na priva wysłac..
 
 mozesz mi tez wyslac ?
 lfe[at]ghnet[.]pl

Ja przy okazji tez poprosze :) -- a moze by tak gdzies wystawic na www?

pzdr,
jmb

Apache virtualhost chroot

[Maciej Gasiorowski]

Witam wszystkich.

Chcialbym uniemozliwic dostep do plikow serwowanych przez Apacha przez 
uzytkownikow innych vhostow.
Chtoor Apacha daje mi jedynie zamkniecie go w piaskownicy, wraz ze 
wirtualkami, wiec to nie rozwiazuje mojego problemu.

Co do skryptow PHP mozna uzyc np. Sbox-a. A jak z innymi CGI?
Chcialbym zrobic cos takiego: w katalogu kazdej wirtualki zrobione jest 
srodowisko jak dla chroot-a (configi, biblioteki, itd). Przy otrzymaniu 
zadania pobrania jakiejs strony, apache jest w locie chrootowany w 
obrebie katalogu wirtualki, wtedy zaden skrypt nie wyjdzie 
(teoretycznie) poza.

Czy cos takiego jest w ogole mozliwe do wykonania ??

Pozdrawiam.
Gasior.

Re: Używaliście openssh+chroot?

[Janusz Król]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Dnia czwartek 02 październik 2003 22:03, Krzysztof Jóźwiak napisał:
 Znalazłem na http://debian.home-dn.net/ coś takiego jak: ssh with chroot
 patch ale jakoś nie chce u mnie działać (robiłem zgodnie z opisem na:
 http://mail.incredimail.com/howto/openssh/

 A może u was coś takiego działa?

Witam
u mnie działa - z powodzeniem - loguję się i sftpuję bez problemu (uruchomiłem 
to konto dla człowieka, który zmienia stronę www na moim serwerze) - 
przeczytaj jeszcze raz dokumentację i potestuj :)

pozdr
jhk
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/fR8Uxa2OJ67xZbgRAi0LAJwI3PTDxNRx5mPbP+j+AqA2iJxm2QCdHN/1
Oigsux1BRy9NUNUEYZjP08k=
=f2A5
-END PGP SIGNATURE-

Używaliście openssh+chroot?

[Krzysztof Jóźwiak]

Witam!


Znalazłem na http://debian.home-dn.net/ coś takiego jak: ssh with chroot patch 
ale jakoś nie chce u mnie działać (robiłem zgodnie z opisem na: 
http://mail.incredimail.com/howto/openssh/

A może u was coś takiego działa?
-- 
Pozdrawiam  
Krzysztof Jóźwiak   

Administrator serwerów linuksowych 
w firmie Laser Systemy Informatyczne  (www.laser.pl)

BIND9 i chroot

[bieniu]

hello

mam binda 9.2.2 i w skrypcie startowym wpis:
OPTIONS=-u bind -t /var/lib/named

i nie wiem dlaczego bind odpala sie na root a nie na userze bind .

ma ktos pomysl ??

pozdro
bieniu

-- 
debian user

chroot

[Dariusz Jagodzik]

Witam

Mało to związane z Debianem, ale warto spytać: jak będąc w chrootcie, nie 
wychodząc z niego, wydać jakieś polecenie powłoce z której uruchomiłem 
chroota ?

-- 
Dariusz 'Mast3r' Jagodzik
mast3r(at)kadu(dot)net
GG: 787769
ICQ: 177145016
PGP: http://pgp.sauridnet.eu.org
Kadu Developer, www.kadu.net

Re: chroot

[Radosław Antoniuk]

tzn? nie za bardzo rozumiem pytanie.. bo tak jak zrozumiałem to kłóci się z
ideą chroot-a :)


--
Pozdrawiam,
Radosław 'Warden' Antoniuk  | GG: 260746 ICQ:55423024
warden(at)debian.black.pl   | #lgul #debian.pl #lms

Re: chroot

[Dariusz Jagodzik]

Dnia pią 28. lutego 2003 22:58, Radosław Antoniuk napisał:
 tzn? nie za bardzo rozumiem pytanie.. bo tak jak zrozumiałem to kłóci się z
 ideą chroot-a :)

Ehh.. sorry troszkę zamotałem, dopiero po wysłaniu na listę pomyslałem 
dlaczego może sie nie dać :P i znam już odpowiedź na to pytanie: nie da sie 
:)

Pozdrawiam

-- 
Dariusz 'Mast3r' Jagodzik
mast3r(at)kadu(dot)net
GG: 787769
ICQ: 177145016
PGP: http://pgp.sauridnet.eu.org
Kadu Developer, www.kadu.net

chroot - podstawowe informacje

[Leaf]

Hello debian-user-polish,

  Zanim wezme sie za googlowanie i czytanie dokumentacji, chialbym sie
  dowiedziec jak wyglada dzialania chroot'a. interesuje mnie to ze
  wzgledu na apache - czy jezeli user ma swoj katalog www powiedzmy
  /www/user/ to czy po zostosowaniu chroot'a nadal bedzie mogl sobie
  cos tam robic ale nie nabroi w systemie gdyby nawet jakims cudem
  uzyskal szersze prawa dostepu?

-- 
Best regards,
 Leaf  mailto:[EMAIL PROTECTED]

Re: Bind9 i chroot.

[Jaroslaw Michalak]

Dnia 2002-11-02 17:01, Użytkownik Mikołaj Menke napisał:
Postanowiłem chrootować binda 9. Znalazłem fajny opis jak to zrobić, ale 
zachodzę w głowę co oznacza Przenosimy pliki stref do 
/etc/bin/etc/bind gdzieś pod koniec dokumentu?


To jest blad na stronie (juz poprawiony) powinno byc /etc/bind/etc/bind 
z racji ze katalogiem chroot jest /etc/bind co zreszta widac w podanych 
opcjach wywolywania bind'a :


Zamieniamy OPTS= na OPTS=-u named -t /etc/bind


http://debian.one.pl/index.php?url=12#dns_chroot

Drugi problem to taki, że named nie chce się zatrzymać. Po wydaniu 
polecenia /etc/init.d/bind9 restart pojawia się Stopping domain name 
service i koniec. Co gorsze to samo jest przy reboocie. Muszę 
restartować przez shutdown -r -n now dla pewności.




Hmmm u mnie to dziala bez problemu...

toster:~# ps ax | grep named | wc -l
  6
toster:~# /etc/init.d/bind9 stop
Stopping domain name service: named.
toster:~# ps ax | grep named | wc -l
  1
toster:~# /etc/init.d/bind9 start
Starting domain name service: named.
toster:~# ps ax | grep named | wc -l
  6
toster:~#

Pozdrawiam.

--
Howks
IRCNet: #debian.pl #linuxpl #lgul
[EMAIL PROTECTED] | GG: 891244 | http://debian.one.pl
GnuPG: 1024D/9C9923A9  BEFC 8AC7 648A 47D3 58DA 1229 F233 A490 9C99 23A9

Bind9 i chroot.

[Mikołaj Menke]

Postanowiłem chrootować binda 9. Znalazłem fajny opis jak to zrobić, ale 
zachodzę w głowę co oznacza Przenosimy pliki stref do 
/etc/bin/etc/bind gdzieś pod koniec dokumentu?


http://debian.one.pl/index.php?url=12#dns_chroot

Drugi problem to taki, że named nie chce się zatrzymać. Po wydaniu 
polecenia /etc/init.d/bind9 restart pojawia się Stopping domain name 
service i koniec. Co gorsze to samo jest przy reboocie. Muszę 
restartować przez shutdown -r -n now dla pewności.


--
http://www.miki.z.pl
[EMAIL PROTECTED]
Gadu-gadu: 2128279
Mobile: +48607345846

Re: Bind9 i chroot.

[Basia Nowak]

Witam

co do pierwszego... przenosimy to znaczy:
1) czytamy named.conf (tam jest sciezka
directory /var/named; (np)..
wiec pliki stref masz w /var/named/*

2) poprawiasz ew niezgodnosci jezeli jakis plik strefy jest podany od pelnej 
sciezki..


to prada sciezka ktora podajesz wydaje sie byc glupia, ale.. kazdy swoje 
woli..

ja osobiscie zrobilam to tak:
/chroot/etc/named.conf
/chroot/var/named/* -pliki stref
/chroot/var/run/ - pid nameda
jest jeszcze pare rzeczy, ale ja mam rndc wiec musza byc..

i potem tylko named -t /chroot i dziala :)))

Co do drugiego to nie uzywam standardowego debianowego skryptu wiec nie wiem 
co tam jest nie tak.. patrzyles do logow??



Pozdrawiam
Basia






From: Miko³aj Menke [EMAIL PROTECTED]
To: debian-user-polish@lists.debian.org
Subject: Bind9 i chroot.

Postanowi³em chrootowaæ binda 9. Znalaz³em fajny opis jak to zrobiæ, ale 
zachodzê w g³owê co oznacza Przenosimy pliki stref do /etc/bin/etc/bind 
gdzie¶ pod koniec dokumentu?


http://debian.one.pl/index.php?url=12#dns_chroot

Drugi problem to taki, ¿e named nie chce siê zatrzymaæ. Po wydaniu 
polecenia /etc/init.d/bind9 restart pojawia siê Stopping domain name 
service i koniec. Co gorsze to samo jest przy reboocie. Muszê restartowaæ 
przez shutdown -r -n now dla pewno¶ci.



_
Get a speedy connection with MSN Broadband.  Join now! 
http://resourcecenter.msn.com/access/plans/freeactivation.asp