HTML

Bagoj úr blogja

Kíváncsi Bagoj befigyel a Linux belsejébe, illetve különféle Linux terjesztéseket próbál ki. Ha jó napja van, scriptet ír Neked.

Friss topikok

Biztonságos SCP az SSH kínjai nélkül

2009.02.13. 13:53 bagoj ur

 

Múltkoriban írtam az SSH és az SCP biztonságosságáról, illetve lehetőségeiről. Kaptam jópár választ itt kommentben is, illetve email-ként is, de egyikben sem volt benne az a dolog, amiről ma szeretnék írni. Ez pedig a "nem minden szarka farka tarka" alapon működő SCPonly alkalmazás.

A név magáért beszél: szeretnénk biztonságos fájl hozzáférést adni, de az SSH minden (előző írásomban felsorolt) nyűgje nélkül. Úgy tűnik, ezek a bizonyos nyűgök már másnak is feltűntek, és ezek az emberek nagy szerencsénkre szorgos fejlesztésbe kezdtek. Mi is élvezhetjük munkájuk gyümölcsét, ha telepítünk egy scponly shellt, és hozzárendeljük az adott felhasználóhoz.

Az scponly képes chroot kalitkába zárni a delikvenst, logolja a belépéseket és a le/feltöltéseket. A külvilág számára természetesen továbbra is csak egy SSH-szerver látszik, az azonosítást az OpenSSH végzi el, és csak ezután kerül a vezérlés az scponly shellhez, amely nem engedi az interaktív parancssor elérését. Természetesen SFTP, Winscp2, gftp és rsync-kompatíbilis.

Mielőtt telepítjük, gondolkodjunk: Ha szeretnénk elérni, hogy a felhasználó ne kolbászolhasson a megadott könyvtárnál feljebb, és más scponly felhasználók fájljait se lássa, akkor természetesen meg kell terveznünk a jogosultságokat (ssh-s helyzetben ez természetesen még inkább fontos lenne!). Az scponly felhasználókat egyesével létre kell hozni a rendszerben (legyenek bár lokális, vagy pl. LDAP-azonosításúak), elvenni minden nem saját csoporttagságot (értsd: bagoj usert szedjük ki az összes csoportból, kivéve a külön neki létrehozott bagoj nevű csoportot), és a saját könyvtáruk jogait is csak saját magukra kell beállítani (értsd: bagoj:bagoj, 0700-s jogok, 077-es umask).

Jól jöhet a chroot, ha ki akarjuk zárni a program hibából adódó kitörési lehetőséget. Ebben az esetben viszont figyelni kell, hogy ilyenkor setuid-esként kell futnia a shellnek, azaz root jogokat vesz magára. Én ebbe belegondoltam és úgy érzem, nem is kell annyira az a chroot...

Telepítés

Nem fogjátok elhinni, de Ubuntun ez már megint csak ennyi:

sudo apt-get install scponlyMajd ezután, ha újonnan hozunk létre scponly felhasználót, akkor

adduser --home /var/sftp -s /bin/scponly scpuserHa már létezik a felhasználó, akkor a /etc/passwd fájlban írjuk át a shellt (pl. /bin/bash) /bin/scponly-ra. A --home paraméter után megadott elérési út természetesen az scp könyvtárat jelenti a rendszerben; és ismét: ha nem újonnan hozzuk létre a felhasználót, akkor ezt is át kell írnunk a passwd fájlban.

Mivel alapértelmezésben egy rakás csoportba bekerül a felhasználó (és ennek szabályozására úgy tudom, nincs adduser kapcsoló), kénytelenek vagyunk utólag kigyomlálni a /etc/group fájlból. (Aki erre tud szebb megoldást, szóljon!)

Lényegében készen is vagyunk.

Jó scponly-zást! :)

Szólj hozzá!

A bejegyzés trackback címe:

https://bagojur.blog.hu/api/trackback/id/tr62933745

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása