rsyslogd, sftp, chroot - logowanie zdarzeń internal-sftp
Witam*.* Mam małe pytan*ie* dot*yczące* rsyslogd, a mianowicie, chciałbym logować wszystkie zdarzenia z subsystemu internal-sftp użytkowników objętych środowiskiem chroot (jakie pliki były pobierane, kasowane, uploadowane przez użytkowników). Użytkownicy ci nie posiadają dostępu do powłoki: Kod: usrmod -g user /bin/false sshd.config ustawiony dla grupy użytkowników środowiska chroot w poniższy sposób: Kod: Match Group sftponly ChrootDirectory /home/%u X11 Forwarding no AllowTcpForwarding no ForceCommand internal-sftp -f Local0 -l Verbose Powyższe działa bez zarzutu jeśli użytkownik ma dostęp do powłoki i nie jest objęty środowiskiem chroot. Wszystkie zdarzenia internal-sftp są logowane. Brak natomiast logów dla użytkowników objętych środowiskiem chroot oraz nieposiadających dostępu do powłoki. Znalazłem takie rozwiązanie http://www.debian-administration.org/ar ... tDirectoryhttp://www.debian-administration.org/article/637/OpenSSH_logging_with_ChrootDirectoryjednak nie zadziałało. System: Debian-6, OpenSSH_5.5p1 Będę bardzo wdzięczny za podpowiedzi. Adam
Problem z instalacją Linux From Scratch = CHROOT
Witam Już kiedyś pisałem tutaj w tej sprawie, jednak wtedy nie udało mi się uzyskać rozwiązania mojego problemu. Teraz postanowiłem jeszcze raz spróbować zainstalować Linux From Scratch, jednak teraz korzystając ze skryptów które zamieszczam poniżej. Mój problem dotyczy polecenia z rozdziału 6.4 podręcznika LFS. Mianowicie po wykonaniu polecenia, program chroot zwraca błąd informujący o braku pliku lub katalogu /tools/bin/bash. Plik o którym mowa oczywiście istnieje. Całą instalację wykonuję w wirtualnej maszynie VirtualBox (poprzednim razem w Vmware Workstation), korzystają z płyty Live CD projektu LFS. Polecenia które wykonuję na maszynie, po uruchomieniu jej z płyty Live CD projektu LFS: wget 78.88.20.95/instalator chmod +x instalator ./instalator #Skrypt poprosi mnie o utworzenie partycji oraz o podanie hasła dla użytkownika LFS. wget 78.88.20.95/instalator2 chmod +x instalator2 ./instalator2 wget 78.88.20.95/instalator3 chmod +x instalator3 ./instalator3 exit #Wyjście z bash exit #Wyjście z su wget 78.88.20.95/instalator4 chmod +x instalator4 ./instalator4 #Teraz powinienem być już w środowisku chroot, jednak zamiast tego otrzymuję błąd o którym już pisałem. Skrypt instalator: #!/bin/bash cfdisk /dev/hda mke2fs -jv /dev/hda2 mkswap /dev/hda1 export LFS=/mnt/lfs mkdir -pv $LFS mount -v -t ext3 /dev/hda2 $LFS /sbin/swapon -v /dev/hda1 mkdir -v $LFS/sources chmod -v a+wt $LFS/sources cd $LFS/sources wget http://www.linuxfromscratch.org/lfs/view/stable/wget-list wget -i wget-list mkdir -v $LFS/tools ln -sv $LFS/tools / groupadd lfs useradd -s /bin/bash -g lfs -m -k /dev/null lfs passwd lfs chown -v lfs $LFS/tools chown -v lfs $LFS/sources su - lfs Skrypt instalator2: #!/bin/bash #bash_profile cat ~/.bash_profile EOF exec env -i HOME=$HOME TERM=$TERM PS1='\u:\w\$ ' /bin/bash EOF #bashrc cat ~/.bashrc EOF set +h umask 022 LFS=/mnt/lfs LC_ALL=POSIX LFS_TGT=$(uname -m)-lfs-linux-gnu PATH=/tools/bin:/bin:/usr/bin export LFS LC_ALL LFS_TGT PATH EOF #source source ~/.bash_profile Skrypt instalator3: #!/bin/bash #Binutils cd $LFS/sources tar -jxf binutils-2.19.1.tar.bz2 cd binutils-2.19.1 mkdir -v ../binutils-build cd ../binutils-build ../binutils-2.19.1/configure \ --target=$LFS_TGT --prefix=/tools \ --disable-nls --disable-werror make case $(uname -m) in x86_64) mkdir -v /tools/lib ln -sv lib /tools/lib64 ;; esac make install #GCC cd $LFS/sources tar -jxf gcc-4.4.1.tar.bz2 cd gcc-4.4.1 tar -jxf ../mpfr-2.4.1.tar.bz2 mv -v mpfr-2.4.1 mpfr tar -jxf ../gmp-4.3.1.tar.bz2 mv -v gmp-4.3.1 gmp mkdir -v ../gcc-build cd ../gcc-build ../gcc-4.4.1/configure \ --target=$LFS_TGT --prefix=/tools \ --disable-nls --disable-shared --disable-multilib \ --disable-decimal-float --disable-threads \ --disable-libmudflap --disable-libssp \ --disable-libgomp --enable-languages=c make make install ln -vs libgcc.a `$LFS_TGT-gcc -print-libgcc-file-name | \ sed 's/libgcc/_eh/'` #Linux cd $LFS/sources tar -jxf linux-2.6.30.2.tar.bz2 cd linux-2.6.30.2 make mrproper make headers_check make INSTALL_HDR_PATH=dest headers_install cp -rv dest/include/* /tools/include #Glibc cd $LFS/sources tar -jxf glibc-2.10.1.tar.bz2 cd glibc-2.10.1 cp -v nptl/sysdeps/unix/sysv/linux/i386/i486/lowlevellock.S{,.orig} sed -e 's/FUTEX_WAIT\( | FUTEX_CLOCK_REALTIME, reg\)/FUTEX_WAIT_BITSET\1/' \ nptl/sysdeps/unix/sysv/linux/i386/i486/lowlevellock.S.orig \ nptl/sysdeps/unix/sysv/linux/i386/i486/lowlevellock.S mkdir -v ../glibc-build cd ../glibc-build case `uname -m` in i?86) echo CFLAGS += -march=i486 -mtune=native configparms ;; esac ../glibc-2.10.1/configure --prefix=/tools \ --host=$LFS_TGT --build=$(../glibc-2.10.1/scripts/config.guess) \ --disable-profile --enable-add-ons \ --enable-kernel=2.6.18 --with-headers=/tools/include \ libc_cv_forced_unwind=yes libc_cv_c_cleanup=yes make make install #Binutils2 cd $LFS/sources tar -jxf binutils-2.19.1.tar.bz2 cd binutils-2.19.1 mkdir -v ../binutils-build cd ../binutils-build CC=$LFS_TGT-gcc -B/tools/lib/ \ AR=$LFS_TGT-ar RANLIB=$LFS_TGT-ranlib \ ../binutils-2.19.1/configure --prefix=/tools \ --disable-nls --with-lib-path=/tools/lib make make install make -C ld clean make -C ld LIB_PATH=/usr/lib:/lib cp -v ld/ld-new /tools/bin #GCC2 cd $LFS/sources tar -jxf gcc-4.4.1.tar.bz2 cd gcc-4.4.1 patch -Np1 -i ../gcc-4.4.1-startfiles_fix-1.patch cp -v gcc/Makefile.in{,.orig} sed 's...@\./fixinc\...@-c true@' gcc/Makefile.in.orig gcc/Makefile.in cp -v gcc/Makefile.in{,.tmp} sed 's/^T_CFLAGS =$/ -fomit-frame-pointer/' gcc/Makefile.in.tmp \ gcc/Makefile.in for file in \ $(find gcc/config -name linux64.h -o -name linux.h -o -name sysv4.h) do cp -uv $file{,.orig} sed -e 's@/lib\(64\)\?\(32\)\?/ld@/tools@g' \ -e 's@/usr@/to...@g' $file.orig $file echo ' #undef STANDARD_INCLUDE_DIR #define STANDARD_INCLUDE_DIR 0 #define STANDARD_STARTFILE_PREFIX_1 #define STANDARD_STARTFILE_PREFIX_2 ' $file touch $file.orig done case
Re: Etch mysql 5 vs chroot
07-03-09, Krzysztof Jastrzębski [EMAIL PROTECTED] napisał(a): Puścił ktoś (z sukcesem) 5-tkę pod Etch'em w chroot ? Na forach mysql nic nie znalazłem (pewnie ze źródeł grzeją i na innych distrach niż Debian). Google też jakby nie zanotowały podobnej konfiguracji... tak , na 2 serwerach produkcyjnych. jedyne co sie wysypało to jakieś badziewne stronki napisane w multi-joinami ;) pzdr. -- Wojciech Ziniewicz Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje ct;umount;makeclean; zip;split;done;exit:xargs!!;)}
Re: Etch mysql 5 vs chroot
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Wojciech Ziniewicz napisał(a): tak , na 2 serwerach produkcyjnych. jedyne co sie wysypało to jakieś badziewne stronki napisane w multi-joinami ;) Mam prośbę. Mogłbyś mi wkleić linijki w oryginalnych paczkowych konfigach które zmieniałeś na swoje ? Typu: init.d/mysql: w linii x za startem dodałem some_command po posadzeniu some_command etc/my.cnf: zmieniłem z parametr na z parametr Do /chrootdir skopiowałem mu some_katalog_ale_caly oraz plik plik ze zmianami takimi_a_takimi etc. Chodzi o *WSZYSTKIE* zabiegi które przedsięwziąłeś bo może nie pomyślałem o czymś oczywistym... - -- Pozdrawiam Krzysztof Jastrzębski Jotka Usługi Informatyczne jotka[at]jastrzebscy[dot]pl http://jotka.jastrzebscy.pl/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFF9Tj+15F9sjoDAtARAgRaAJ4z6AysxcFQMh2V6imEQvI53JQzHwCfWU5y D8/l0q1WrXq7tPuD7A0Lavc= =JqR+ -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Etch mysql 5 vs chroot
12-03-07, Krzysztof Jastrzębski [EMAIL PROTECTED] napisał(a): Mam prośbę. Mogłbyś mi wkleić linijki w oryginalnych paczkowych konfigach które zmieniałeś na swoje ? Typu: init.d/mysql: w linii x za startem dodałem some_command po posadzeniu some_command etc/my.cnf: zmieniłem z parametr na z parametr Do /chrootdir skopiowałem mu some_katalog_ale_caly oraz plik plik ze zmianami takimi_a_takimi etc. Od defaultowego konfiga różni sie tylko poniższym Basic settings ustawione na : [...] skip-external-locking character-set-server= latin2 default-character-set = latin2 default-collation = latin2_general_ci old_passwords = true [...] # # Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. bind-address= 217.17.BLA.x Moze moja sytuacja jest ciut inna bo obydwa mysqle śmigają w XENie a nie w chroocie. Zaznaczam ze serwer nie był upgradowany do 5. To był nowy serwer do ktorego przeniosłem po prostuwszystkie bazy. -- Wojciech Ziniewicz Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje ct;umount;makeclean; zip;split;done;exit:xargs!!;)}
Etch mysql 5 vs chroot
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 mysql w Debianie Sarge (tam jest 4) chodzi w chroot bez problemu. Oryginalny my.cnf przerzuciłem do $CHROOTDIR a w /etc/mysql/ w sekcjach [client] i [mysqld_safe] podmieniłem: socket = $CHROOTDIR/var/run/mysqld/mysqld.sock W /etc/init.d/mysql po starcie dodałem: sleep 5 ln $CHROOTDIR$MYSOCKET $MYSOCKET (bo niektóre aplikacje poza $CHROOTDIR tego socketu potrzebują) ... a po ubiciu: rm $CHROOTDIR$MYSOCKET $MYSOCKET Ale zrobiłem dist-upgrade do Etch'a (tu mysql jest 5) i kupę nowych rzeczy w skryptach. Jest /etc/mysql/debian-start w dodatku bierze coś z: source /usr/share/mysql/debian-start.inc.sh ... no i pojawiły się problemy. Teoretycznie wszystko działa nawet SSL i replikację udało się w tym układzie zestroić. Miałbym złudne wrażenie że jest O.K. gdyby nie logi: ania /etc/mysql/debian-start[29907]: Upgrading MySQL tables if necessary. ania /etc/mysql/debian-start[29910]: Can't find data directory. Please restart with --datadir=path-to-writable-data-dir ania mysqld[30093]: 070309 9:35:06 [ERROR] Do you already have another mysqld server running on socket: /chroot/var/run/mysqld/mysqld.sock ? ania mysqld[30093]: 070309 9:35:06 [ERROR] Aborting ania mysqld[30093]: 070309 9:35:06 InnoDB: Starting shutdown... ania mysqld[5583]: 070307 16:26:18 InnoDB: Retrying to lock the first data file ania mysqld[5583]: InnoDB: Unable to lock ./ibdata1, error: 11 ania mysqld[5583]: InnoDB: Check that you do not already have another mysqld process ania mysqld[5583]: InnoDB: using the same InnoDB data or log files. ania mysqld[5583]: InnoDB: zeros, but did not yet use them in any way. But be careful: do not ania mysqld[5583]: InnoDB: remove old data files which contain your precious data! ania mysqld[5583]: 070307 16:27:58 [Note] /usr/sbin/mysqld: Zakończenie działania etc. W dodatku w połowie przypadków (5 na 10) mysql nie startuje co jest problemem w przy nocnych backupach do których jest składany i trzeba go rano stawiać z palucha. Na razie test na workstacji ale lada dzień Etch wyjdzie i po dist-upgrade staną mi produkcyjne serwery (autoryzacja poczty qmail+vpopmail - jak mysql nie wstanie po nocnym backupie to userzy będą mnie rano budzić... :-)) Puścił ktoś (z sukcesem) 5-tkę pod Etch'em w chroot ? Na forach mysql nic nie znalazłem (pewnie ze źródeł grzeją i na innych distrach niż Debian). Google też jakby nie zanotowały podobnej konfiguracji... - -- Pozdrawiam Krzysztof Jastrzębski Jotka Usługi Informatyczne jotka[at]jastrzebscy[dot]pl http://jotka.jastrzebscy.pl/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFF8TKu15F9sjoDAtARAh6rAKCXRfPNfAj9PgwgBxgXXSoCgMwSOACeLTuQ v0sD9g0Lh4C1b18zm8XDBtY= =PuPg -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
team-speak w chroot
hejka czy ktos z Was zamykal w chroot team-speak na debianie ? jak do tego najlepiej sie zabrac ? jest jakis automat ktory zamknie mi dany program w chroot ? niestety team-speak nie ma w paczkach debiana, sciagam binarki ze strony projektu ... podpowiedzcie prosze pozdro bieniu -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: team-speak w chroot
2006/9/7, Marcin Bieniaszewski [EMAIL PROTECTED]: hejka czy ktos z Was zamykal w chroot team-speak na debianie ? jak do tego najlepiej sie zabrac ? jest jakis automat ktory zamknie mi dany program w chroot ? niestety team-speak nie ma w paczkach debiana, sciagam binarki ze strony projektu ... podpowiedzcie prosze to bedzie pomocne : # apt-cache search chroot chrootuid - Run commands in restricted environments cvsd - chroot wrapper to run `cvs pserver' more securely .jailtool - Tool to build chroot-jails for daemons [...] -- Wojciech Ziniewicz| jid:[EMAIL PROTECTED] http://silenceproject.org | http://zetho.wordpress.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Bind9, chroot, problemy...
Konfiguracje robiłem według http://www.howtoforge.com/howto_bind_chroot_debian. Czemu sie tworza pliki tymczasowe? W named.conf.options jest directory /var/cache/bind; Aug 1 19:35:10 student named[14427]: zone mojadomena.pl/IN: loading master file /var/lib/named/etc/bind/M/strefa.mojadomena.pl: file not found Dzieje sie tak mimo, ze taki plik istnieje /var/lib/named/etc/bind/M/strefa.mojadomena.pl Bede bardzo wdzieczny za jakies wskazowki Pozdrawiam. Aug 1 19:35:07 student named[14226]: shutting down: flushing changes Aug 1 19:35:07 student named[14226]: stopping command channel on 127.0.0.1#953 Aug 1 19:35:07 student named[14226]: stopping command channel on ::1#953 Aug 1 19:35:07 student named[14226]: no longer listening on 127.0.0.1#53 Aug 1 19:35:07 student named[14226]: no longer listening on 193.111.146.13#53 Aug 1 19:35:07 student named[14226]: exiting Aug 1 19:35:10 student named[14427]: starting BIND 9.3.2 -u bind -t /var/lib/named Aug 1 19:35:10 student named[14427]: found 1 CPU, using 1 worker thread Aug 1 19:35:10 student named[14427]: loading configuration from '/etc/bind/named.conf' Aug 1 19:35:10 student named[14427]: listening on IPv4 interface lo, 127.0.0.1#53 Aug 1 19:35:10 student named[14427]: listening on IPv4 interface eth0, 111.111.111.13#53 Aug 1 19:35:10 student named[14427]: command channel listening on 127.0.0.1#953 Aug 1 19:35:10 student named[14427]: command channel listening on ::1#953 Aug 1 19:35:10 student named[14427]: zone 0.in-addr.arpa/IN: loaded serial 1 Aug 1 19:35:10 student named[14427]: zone 127.in-addr.arpa/IN: loaded serial 1 Aug 1 19:35:10 student named[14427]: zone 111.111.111.in-addr.arpa/IN: loading master file /var/lib/named/etc/bind/M/146.111.193.in-addr.arpa: file not found Aug 1 19:35:10 student named[14427]: zone 255.in-addr.arpa/IN: loaded serial 1 Aug 1 19:35:10 student named[14427]: zone localhost/IN: loaded serial 1 Aug 1 19:35:10 student named[14427]: zone mojadomena.pl/IN: loading master file /var/lib/named/etc/bind/M/strefa.mojadomena.pl: file not found Aug 1 19:35:10 student named[14427]: zone mojadomena.pl/IN: loading master file /var/lib/named/etc/bind/M/strefa.mojadomena.pl: file not found Aug 1 19:35:10 student named[14427]: running Aug 1 19:35:10 student named[14427]: zone innadomena.pl/IN: Transfer started. Aug 1 19:35:10 student named[14427]: zone innadomena2.pl/IN: Transfer started. Aug 1 19:35:10 student named[14427]: zone innadomena3.pl/IN: zone transfer deferred due to quota Aug 1 19:35:10 student named[14427]: zone www.innadomena4.pl/IN: zone transfer deferred due to quota Aug 1 19:35:10 student named[14427]: transfer of 'innadomena1.pl/IN' from 222.222.222.130#53: connected using 111.111.111.13#52653 Aug 1 19:35:10 student named[14427]: transfer of 'innadomena2.pl/IN' from 222.222.222.130#53: connected using 111.111.111.13#46197 Aug 1 19:35:10 student named[14427]: dumping master file: /var/lib/named/etc/bind/S/tmp-ZisEyxSv8N: open: file not found Aug 1 19:35:10 student named[14427]: transfer of 'innadomena1.pl/IN' from 222.222.222.130#53: failed while receiving responses: file not found Aug 1 19:35:10 student named[14427]: dumping master file: /var/lib/named/etc/bind/S/tmp-kqkaP2bzIh: open: file not found Aug 1 19:35:10 student named[14427]: zone kolejnadomena.pl/IN: Transfer started. Aug 1 19:35:10 student named[14427]: dumping master file: /var/lib/named/etc/bind/S/tmp-VO7VBZ55Oz: open: file not found Cesaria Evora we Wrocławiu! Królowa World Music zaśpiewa 6 sierpnia podczas Wrocław Summer Guitar Folk Festival. http://klik.wp.pl/?adr=http%3A%2F%2Fadv.reklama.wp.pl%2Fas%2Fcesaria2.htmlsid=834 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
debian i chroot
Witam, Proszę mi polecić howto do chrootowania userow pod debianem. Najlepiej po polsku. Pozdrawiam ;) -- Wojciech Ziniewicz| jid:[EMAIL PROTECTED] http://silenceproject.org | http://zetho.wordpress.com
Re: debian i chroot
On Wednesday 21 June 2006 14:30, Wojciech Ziniewicz wrote: Witam, Proszę mi polecić howto do chrootowania userow pod debianem. Najlepiej po polsku. Pozdrawiam ;) Ja znalazłem takie coś: http://pld.linux.edu.pl/chroot Ale są ich hektyliony. ;) -- Grzegorz Szymański | mailto:[EMAIL PROTECTED] | pgp:0x14A27314 jabber ID: [EMAIL PROTECTED] -- Zobacz nowosci salonu moto w Madrycie http://link.interia.pl/f1961
Re: debian i chroot
06-06-21, Grzegorz Szymański [EMAIL PROTECTED] napisał(a): On Wednesday 21 June 2006 14:30, Wojciech Ziniewicz wrote: Witam, Proszę mi polecić howto do chrootowania userow pod debianem. Najlepiej po polsku. Pozdrawiam ;) Ja znalazłem takie coś: http://pld.linux.edu.pl/chroot Ale są ich hektyliony. ;) raczej piardyliardy :P ano dzieki serdeczne to mi wystarczy. nie mam czasu na szukanie i zastanawianie sie co pominąlem a potrzbuje miec szybkiego chroota z deboostrapa. pzdr! -- Wojciech Ziniewicz| jid:[EMAIL PROTECTED] http://silenceproject.org | http://zetho.wordpress.com
Re: chroot
fragment z moich logow dot. nieudanej proby zlaogowania z uzera hipiss na uzytkownika peon przy pomocy su /var/log/auth.log Jun 4 12:05:32 jogi su[22634]: + pts/36 hipiss-peon cze 4 12:05:32 jogi PAM_unix[22634]: (su) session opened for user peon by hipiss(uid=1000) Jun 4 12:05:32 jogi sudo: peon : TTY=pts/36 ; PWD=/home/hipiss/cproby ; USER=root ; COMMAND=/usr/sbin/chroot /home/peon /bin/su - peon po podaniu hasla pada odpowiedz pt..Sorry. i nieloguje sie.. Pozdrawiam hipiss
Re: chroot
http:///www.tjw.org/chroot-login-HOWTO/ no i ... nie dziala :-( Stawiam ze trzeba zamieszac z su (nie otwiera mi sie stronka wiec nie wiem co tam pisze). za duzo slashy w adresie za http :] usun jednego i bedzie ok :) O faktycznie, nie wpadlo mi w oko :) mozesz mi wyslac :) lfe[at]ghnet[.]pl [czeka mnie to niebawem i powoli zaczynam zbierac informacje] A tekst okazuje się jest ten sam :), tylko zauważyłem jedną rzecz u siebie, jak próbuję zalogować się bezpośrednio na serwerze na schrootowanym koncie, to też mnie wywala, natomiast działa i po połączeniu przez ssh i po przejściu przez su z roota, tylko bezposredni login na maszynie nie działa i co gorsza, jak dla mnie w logach nie mam nic co by mnie naprowadziło dlaczego Druga uwaga, która prędzej czy później Wam wyjdzie pewnie, musicie do schrootowanego środowiska zamountować jeszcze /proc, bo większość aplikacji (np.ncursowych) nie chce bez tego działać (np. mc :) ), co ciekawe będzie to ten sam proc co w roocie, więc jak sami twórcy (bodajże chroota) napisali, jest to teoretyczne miejsce przez które można jednak włamać się na serwer, na pełny system, polecam w związku z tym założenie np patch openwall na kernela. Trzecia uwaga, jak będziecie chcieli za dużo aplikacji różnych dziwnych udostępnić, to będziecie musieli też zrobić pewnie ldconfiga na schrootowanym środowisku. (Ogólnie u mnie (mamy własną aplikację terminalową), zrobienie chroota to dość dużo roboty :) = Cywarta uwaga, za jakiś czas pewnie poskładam swoje różne uwagi i doświadczenia dotyczące chroota itp, i wtedy może postawię jakąś stronkę z nimi i nie omiesykam poslac wiadomosci na liste. -- Lacze rozne wyrazy i pozdrawiam Grzegorz Ludwiczek [EMAIL PROTECTED] +48 696 041203 GG 2761695
Re: chroot
przepraszam wszystkich za o jeden zaduzo... /nadal mam ten sam problem;..malo tego probowalem to zrobic nawet na iinym serwerze...i tez nic z tego...nadal wyskakuje mi poprostu "sorry"w logi patrzylem ale za duzo nie widze..ktos ma jeszcze jakiegos pomysla..?pozdrawiamhipiss
Re: chroot
hm. przekompilowalem su i teraz dostaje komunikat "/bin/su: user peon does not exist" gdzie go dodac...?? gdy zminiam w /etc/passwd powloke na /bin/bash to moge siem zalogowac normalnie do katalogu okreslonego w /etc/passwd? Pozdrawiam hipiss
Re: chroot
hm. przekompilowalem su i teraz dostaje komunikat /bin/su: user peon does not exist gdzie go dodac...?? gdy zminiam w /etc/passwd powloke na /bin/bash to moge siem zalogowac normalnie do katalogu okreslonego w /etc/passwd? a w katalogu z chrootem masz /etc/passwd ? z dopisanym uzytkownikiem peon z tym samym uid co w roocie ? -- Łączę różne wyrazy i pozdrawiam Grzegorz Ludwiczek [EMAIL PROTECTED] +48 696 041203 GG 2761695
Re: chroot
peon:x:1036:1036::/home/peon:/bin/chroot-shell dla /home/peon/etc/passwd tutaj powinno byc ale poprostu zle przepisalem... peon:x:1036:1036:/home:/bin/bash hipiss nie zmieniles /etc/sudoers ? powinno byc - peon ALL= NOPASSWD: /usr/sbin/chroot /home/peon /bin/su - peon* zmienilem... pozdrawiam hipiss
Re: chroot
peon:x:1036:1036::/home/peon:/bin/chroot-shell dla /home/peon/etc/passwd tutaj powinno byc ale poprostu zle przepisalem... peon:x:1036:1036:/home:/bin/bash hipiss nie zmieniles /etc/sudoers ? powinno byc - peon ALL= NOPASSWD: /usr/sbin/chroot /home/peon /bin/su - peon* zmienilem... To podaj dokladnie jakie masz komunikaty, z logow tez -- Łączę różne wyrazy i pozdrawiam Grzegorz Ludwiczek [EMAIL PROTECTED] +48 696 041203 GG 2761695
chroot
wygoglalem sobie stronke... http:///www.tjw.org/chroot-login-HOWTO/ no i ... nie dziala :-( czy ktos kto juz zrobil u siebie chroot-a dla userow moglby sie ze mna podzielic informacjami dlaczego po zalogowaniu ukazuje sie komunikat "sorry" i nastepuje wylogowanie pozdrawiam hipiss
Re: chroot
Dnia śro 2. czerwca 2004 12:58, [EMAIL PROTECTED] napisał: wygoglalem sobie stronke... http:///www.tjw.org/chroot-login-HOWTO/ no i ... nie dziala :-( czy ktos kto juz zrobil u siebie chroot-a dla userow moglby sie ze mna podzielic informacjami dlaczego po zalogowaniu ukazuje sie komunikat sorry i nastepuje wylogowanie Powiem tak: deb http://debian.home-dn.net/woody/ ssh/ skrypt do zakladania uzytkownikow moge Ci na priva wysłac.. pozdrawiam hipiss -- Pozdrawiam Krzysztof Jóźwiak Administrator serwerów linuksowych w firmie Laser Systemy Informatyczne S.A. (www.laser.pl) tel. +42 630 66 77 w. 126 ul. Trauguta 21/23, Łódź 90-113
Re: chroot
wygoglalem sobie stronke... http:///www.tjw.org/chroot-login-HOWTO/ no i ... nie dziala :-( czy ktos kto juz zrobil u siebie chroot-a dla userow moglby sie ze mna podzielic informacjami dlaczego po zalogowaniu ukazuje sie komunikat sorry i nastepuje wylogowanie Stawiam ze trzeba zamieszac z su (nie otwiera mi sie stronka wiec nie wiem co tam pisze). Albo trzeba dopisac do /etc/sudoers uprawnienia dla uzytkownika, albo trzeba przekompilowac su. Na wszelki wypadek wyślę to z czego ja robiłem na priva (dluzszy tekst wiec nie puszczam na piste) -- Łączę różne wyrazy i pozdrawiam Grzegorz Ludwiczek [EMAIL PROTECTED] +48 696 041203 GG 2761695
Re: chroot
wygoglalem sobie stronke... http:///www.tjw.org/chroot-login-HOWTO/ no i ... nie dziala :-( czy ktos kto juz zrobil u siebie chroot-a dla userow moglby sie ze mna podzielic informacjami dlaczego po zalogowaniu ukazuje sie komunikat sorry i nastepuje wylogowanie U mnie dziala -- dokladnie wedlug tej stronki. Zwroc uwage na to, co pisza o 'su' -- ze najlepiej skompilowac samemu (jest odnosnik do dokaladnego opisu krok po kroku) bez wspolpracy z pam-em. To chyba o to chodzi... pzdr, jmb PS. A moze jeszcze jedno: tam pisza o pewnych bibliotekach nie wykazywanych przez ldd (aczkolwiek nie wiem na ile to ma zastosowanie -- ja przegralem troche wiecej bibliotek niz trzeba :)).
Re: chroot
Witajcie, http:///www.tjw.org/chroot-login-HOWTO/ no i ... nie dziala :-( Stawiam ze trzeba zamieszac z su (nie otwiera mi sie stronka wiec nie wiem co tam pisze). za duzo slashy w adresie za http :] usun jednego i bedzie ok :) [jest napisane nie pisze , przepraszam nie wytrzymalem :P tepiono mnie zawsze za ten zwrot i tak mi zostal taki uraz hehe prosze o wybaczenie :P] Grzegorz Ludwiczek [EMAIL PROTECTED] Na wszelki wypadek wyślę to z czego ja robiłem na priva (dluzszy tekst wiec nie puszczam na piste) mozesz mi wyslac :) lfe[at]ghnet[.]pl Krzysztof Jóźwiak [EMAIL PROTECTED] (Laser - Systemy Infomratyczne) skrypt do zakladania uzytkownikow moge Ci na priva wysłac.. mozesz mi tez wyslac ? lfe[at]ghnet[.]pl [czeka mnie to niebawem i powoli zaczynam zbierac informacje] -- Pozdrawiam, Marcin.
Re: chroot
[ciach] Grzegorz Ludwiczek [EMAIL PROTECTED] Na wszelki wypadek wyślę to z czego ja robiłem na priva (dluzszy tekst wiec nie puszczam na piste) mozesz mi wyslac :) lfe[at]ghnet[.]pl Krzysztof Jóźwiak [EMAIL PROTECTED] (Laser - Systemy Infomratyczne) skrypt do zakladania uzytkownikow moge Ci na priva wysłac.. mozesz mi tez wyslac ? lfe[at]ghnet[.]pl Ja przy okazji tez poprosze :) -- a moze by tak gdzies wystawic na www? pzdr, jmb
Apache virtualhost chroot
Witam wszystkich. Chcialbym uniemozliwic dostep do plikow serwowanych przez Apacha przez uzytkownikow innych vhostow. Chtoor Apacha daje mi jedynie zamkniecie go w piaskownicy, wraz ze wirtualkami, wiec to nie rozwiazuje mojego problemu. Co do skryptow PHP mozna uzyc np. Sbox-a. A jak z innymi CGI? Chcialbym zrobic cos takiego: w katalogu kazdej wirtualki zrobione jest srodowisko jak dla chroot-a (configi, biblioteki, itd). Przy otrzymaniu zadania pobrania jakiejs strony, apache jest w locie chrootowany w obrebie katalogu wirtualki, wtedy zaden skrypt nie wyjdzie (teoretycznie) poza. Czy cos takiego jest w ogole mozliwe do wykonania ?? Pozdrawiam. Gasior.
Re: Używaliście openssh+chroot?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Dnia czwartek 02 październik 2003 22:03, Krzysztof Jóźwiak napisał: Znalazłem na http://debian.home-dn.net/ coś takiego jak: ssh with chroot patch ale jakoś nie chce u mnie działać (robiłem zgodnie z opisem na: http://mail.incredimail.com/howto/openssh/ A może u was coś takiego działa? Witam u mnie działa - z powodzeniem - loguję się i sftpuję bez problemu (uruchomiłem to konto dla człowieka, który zmienia stronę www na moim serwerze) - przeczytaj jeszcze raz dokumentację i potestuj :) pozdr jhk -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iD8DBQE/fR8Uxa2OJ67xZbgRAi0LAJwI3PTDxNRx5mPbP+j+AqA2iJxm2QCdHN/1 Oigsux1BRy9NUNUEYZjP08k= =f2A5 -END PGP SIGNATURE-
Używaliście openssh+chroot?
Witam! Znalazłem na http://debian.home-dn.net/ coś takiego jak: ssh with chroot patch ale jakoś nie chce u mnie działać (robiłem zgodnie z opisem na: http://mail.incredimail.com/howto/openssh/ A może u was coś takiego działa? -- Pozdrawiam Krzysztof Jóźwiak Administrator serwerów linuksowych w firmie Laser Systemy Informatyczne (www.laser.pl)
BIND9 i chroot
hello mam binda 9.2.2 i w skrypcie startowym wpis: OPTIONS=-u bind -t /var/lib/named i nie wiem dlaczego bind odpala sie na root a nie na userze bind . ma ktos pomysl ?? pozdro bieniu -- debian user
chroot
Witam Mało to związane z Debianem, ale warto spytać: jak będąc w chrootcie, nie wychodząc z niego, wydać jakieś polecenie powłoce z której uruchomiłem chroota ? -- Dariusz 'Mast3r' Jagodzik mast3r(at)kadu(dot)net GG: 787769 ICQ: 177145016 PGP: http://pgp.sauridnet.eu.org Kadu Developer, www.kadu.net
Re: chroot
tzn? nie za bardzo rozumiem pytanie.. bo tak jak zrozumiałem to kłóci się z ideą chroot-a :) -- Pozdrawiam, Radosław 'Warden' Antoniuk | GG: 260746 ICQ:55423024 warden(at)debian.black.pl | #lgul #debian.pl #lms
Re: chroot
Dnia pią 28. lutego 2003 22:58, Radosław Antoniuk napisał: tzn? nie za bardzo rozumiem pytanie.. bo tak jak zrozumiałem to kłóci się z ideą chroot-a :) Ehh.. sorry troszkę zamotałem, dopiero po wysłaniu na listę pomyslałem dlaczego może sie nie dać :P i znam już odpowiedź na to pytanie: nie da sie :) Pozdrawiam -- Dariusz 'Mast3r' Jagodzik mast3r(at)kadu(dot)net GG: 787769 ICQ: 177145016 PGP: http://pgp.sauridnet.eu.org Kadu Developer, www.kadu.net
chroot - podstawowe informacje
Hello debian-user-polish, Zanim wezme sie za googlowanie i czytanie dokumentacji, chialbym sie dowiedziec jak wyglada dzialania chroot'a. interesuje mnie to ze wzgledu na apache - czy jezeli user ma swoj katalog www powiedzmy /www/user/ to czy po zostosowaniu chroot'a nadal bedzie mogl sobie cos tam robic ale nie nabroi w systemie gdyby nawet jakims cudem uzyskal szersze prawa dostepu? -- Best regards, Leaf mailto:[EMAIL PROTECTED]
Re: Bind9 i chroot.
Dnia 2002-11-02 17:01, Użytkownik Mikołaj Menke napisał: Postanowiłem chrootować binda 9. Znalazłem fajny opis jak to zrobić, ale zachodzę w głowę co oznacza Przenosimy pliki stref do /etc/bin/etc/bind gdzieś pod koniec dokumentu? To jest blad na stronie (juz poprawiony) powinno byc /etc/bind/etc/bind z racji ze katalogiem chroot jest /etc/bind co zreszta widac w podanych opcjach wywolywania bind'a : Zamieniamy OPTS= na OPTS=-u named -t /etc/bind http://debian.one.pl/index.php?url=12#dns_chroot Drugi problem to taki, że named nie chce się zatrzymać. Po wydaniu polecenia /etc/init.d/bind9 restart pojawia się Stopping domain name service i koniec. Co gorsze to samo jest przy reboocie. Muszę restartować przez shutdown -r -n now dla pewności. Hmmm u mnie to dziala bez problemu... toster:~# ps ax | grep named | wc -l 6 toster:~# /etc/init.d/bind9 stop Stopping domain name service: named. toster:~# ps ax | grep named | wc -l 1 toster:~# /etc/init.d/bind9 start Starting domain name service: named. toster:~# ps ax | grep named | wc -l 6 toster:~# Pozdrawiam. -- Howks IRCNet: #debian.pl #linuxpl #lgul [EMAIL PROTECTED] | GG: 891244 | http://debian.one.pl GnuPG: 1024D/9C9923A9 BEFC 8AC7 648A 47D3 58DA 1229 F233 A490 9C99 23A9
Bind9 i chroot.
Postanowiłem chrootować binda 9. Znalazłem fajny opis jak to zrobić, ale zachodzę w głowę co oznacza Przenosimy pliki stref do /etc/bin/etc/bind gdzieś pod koniec dokumentu? http://debian.one.pl/index.php?url=12#dns_chroot Drugi problem to taki, że named nie chce się zatrzymać. Po wydaniu polecenia /etc/init.d/bind9 restart pojawia się Stopping domain name service i koniec. Co gorsze to samo jest przy reboocie. Muszę restartować przez shutdown -r -n now dla pewności. -- http://www.miki.z.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846
Re: Bind9 i chroot.
Witam co do pierwszego... przenosimy to znaczy: 1) czytamy named.conf (tam jest sciezka directory /var/named; (np).. wiec pliki stref masz w /var/named/* 2) poprawiasz ew niezgodnosci jezeli jakis plik strefy jest podany od pelnej sciezki.. to prada sciezka ktora podajesz wydaje sie byc glupia, ale.. kazdy swoje woli.. ja osobiscie zrobilam to tak: /chroot/etc/named.conf /chroot/var/named/* -pliki stref /chroot/var/run/ - pid nameda jest jeszcze pare rzeczy, ale ja mam rndc wiec musza byc.. i potem tylko named -t /chroot i dziala :))) Co do drugiego to nie uzywam standardowego debianowego skryptu wiec nie wiem co tam jest nie tak.. patrzyles do logow?? Pozdrawiam Basia From: Miko³aj Menke [EMAIL PROTECTED] To: debian-user-polish@lists.debian.org Subject: Bind9 i chroot. Postanowi³em chrootowaæ binda 9. Znalaz³em fajny opis jak to zrobiæ, ale zachodzê w g³owê co oznacza Przenosimy pliki stref do /etc/bin/etc/bind gdzie¶ pod koniec dokumentu? http://debian.one.pl/index.php?url=12#dns_chroot Drugi problem to taki, ¿e named nie chce siê zatrzymaæ. Po wydaniu polecenia /etc/init.d/bind9 restart pojawia siê Stopping domain name service i koniec. Co gorsze to samo jest przy reboocie. Muszê restartowaæ przez shutdown -r -n now dla pewno¶ci. _ Get a speedy connection with MSN Broadband. Join now! http://resourcecenter.msn.com/access/plans/freeactivation.asp