* [Sysadmins] ssh
@ 2007-09-24 11:14 Anton Gorlov
2007-09-24 12:06 ` Peter V. Saveliev
` (2 more replies)
0 siblings, 3 replies; 7+ messages in thread
From: Anton Gorlov @ 2007-09-24 11:14 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Сущесвтует ли хотя бы костыльный способ юзерам у которых щелл по ssh
ограничить свободу передвижения по системе..?
В принципи там и так таким юзерам оидельный vps выдаётся..но всё равно
как-то неаккуратненько получается.
По пути подумал..а что если в ~/.profile юзера прописать chroot?
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh
2007-09-24 11:14 [Sysadmins] ssh Anton Gorlov
@ 2007-09-24 12:06 ` Peter V. Saveliev
2007-09-24 12:21 ` Anton Gorlov
2007-09-24 15:19 ` Gennady Kovalev
2007-09-25 13:39 ` Grigory Fateyev
2 siblings, 1 reply; 7+ messages in thread
From: Peter V. Saveliev @ 2007-09-24 12:06 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Monday 24 September 2007 15:14:04 Anton Gorlov написал(а):
> Сущесвтует ли хотя бы костыльный способ юзерам у которых щелл по ssh
> ограничить свободу передвижения по системе..?
> В принципи там и так таким юзерам оидельный vps выдаётся..но всё равно
> как-то неаккуратненько получается.
>
> По пути подумал..а что если в ~/.profile юзера прописать chroot?
<skip />
главное после chroot не забыть привилегии дропнуть.
а ещё лучше не извращаться, а действительно использовать OVZ/VServer. Лучше
первое, проще второе.
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh
2007-09-24 12:06 ` Peter V. Saveliev
@ 2007-09-24 12:21 ` Anton Gorlov
2007-09-24 13:00 ` Peter V. Saveliev
0 siblings, 1 reply; 7+ messages in thread
From: Anton Gorlov @ 2007-09-24 12:21 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Peter V. Saveliev пишет:
> главное после chroot не забыть привилегии дропнуть.
> а ещё лучше не извращаться, а действительно использовать OVZ/VServer. Лучше
> первое, проще второе.
так и на весь мир опенвз доступ не хочется выдавать...
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh
2007-09-24 12:21 ` Anton Gorlov
@ 2007-09-24 13:00 ` Peter V. Saveliev
2007-09-25 7:05 ` Anton Gorlov
0 siblings, 1 reply; 7+ messages in thread
From: Peter V. Saveliev @ 2007-09-24 13:00 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Monday 24 September 2007 16:21:12 Anton Gorlov написал(а):
> Peter V. Saveliev пишет:
> > главное после chroot не забыть привилегии дропнуть.
> > а ещё лучше не извращаться, а действительно использовать OVZ/VServer.
> > Лучше первое, проще второе.
>
> так и на весь мир опенвз доступ не хочется выдавать...
<skip />
в смысле и почему?
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh
2007-09-24 11:14 [Sysadmins] ssh Anton Gorlov
2007-09-24 12:06 ` Peter V. Saveliev
@ 2007-09-24 15:19 ` Gennady Kovalev
2007-09-25 13:39 ` Grigory Fateyev
2 siblings, 0 replies; 7+ messages in thread
From: Gennady Kovalev @ 2007-09-24 15:19 UTC (permalink / raw)
To: 'ALT Linux sysadmin discuss'
> Сущесвтует ли хотя бы костыльный способ юзерам у которых щелл по ssh
> ограничить свободу передвижения по системе..?
> В принципи там и так таким юзерам оидельный vps выдаётся..но всё равно
> как-то неаккуратненько получается.
>
> По пути подумал..а что если в ~/.profile юзера прописать chroot?
А если шел ему поменять на свой скриптень с chroot? А в chroot хардлинки?
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh
2007-09-24 13:00 ` Peter V. Saveliev
@ 2007-09-25 7:05 ` Anton Gorlov
0 siblings, 0 replies; 7+ messages in thread
From: Anton Gorlov @ 2007-09-25 7:05 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>> так и на весь мир опенвз доступ не хочется выдавать...
> <skip />
> в смысле и почему?
Чем меньше можно пользователю..тем спокойнее.. к тому же там на
вартуалке дебиан... а там права на каталоги совсем мягкие..по сравннеию
с нами.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh
2007-09-24 11:14 [Sysadmins] ssh Anton Gorlov
2007-09-24 12:06 ` Peter V. Saveliev
2007-09-24 15:19 ` Gennady Kovalev
@ 2007-09-25 13:39 ` Grigory Fateyev
2 siblings, 0 replies; 7+ messages in thread
From: Grigory Fateyev @ 2007-09-25 13:39 UTC (permalink / raw)
To: sysadmins
Hello Anton Gorlov!
On Mon, 24 Sep 2007 15:14:04 +0400 you wrote:
> Сущесвтует ли хотя бы костыльный способ юзерам у которых щелл по ssh
> ограничить свободу передвижения по системе..?
> В принципи там и так таким юзерам оидельный vps выдаётся..но всё
> равно как-то неаккуратненько получается.
>
> По пути подумал..а что если в ~/.profile юзера прописать chroot?
Где то видел патч для ssh выдававший юзерам chroot при входе...
P.S. http://chrootssh.sourceforge.net/download/ нашёл, и в догонку
http://www.brandonhutchinson.com/chroot_ssh.html
--
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2007/09/25 17:34
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2007-09-25 13:39 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-09-24 11:14 [Sysadmins] ssh Anton Gorlov
2007-09-24 12:06 ` Peter V. Saveliev
2007-09-24 12:21 ` Anton Gorlov
2007-09-24 13:00 ` Peter V. Saveliev
2007-09-25 7:05 ` Anton Gorlov
2007-09-24 15:19 ` Gennady Kovalev
2007-09-25 13:39 ` Grigory Fateyev
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git