* [Sysadmins] ssh
@ 2007-09-24 11:14 Anton Gorlov
2007-09-24 12:06 ` Peter V. Saveliev
` (2 more replies)
0 siblings, 3 replies; 7+ messages in thread
From: Anton Gorlov @ 2007-09-24 11:14 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Сущесвтует ли хотя бы костыльный способ юзерам у которых щелл по ssh
ограничить свободу передвижения по системе..?
В принципи там и так таким юзерам оидельный vps выдаётся..но всё равно
как-то неаккуратненько получается.
По пути подумал..а что если в ~/.profile юзера прописать chroot?
^ permalink raw reply [flat|nested] 7+ messages in thread* Re: [Sysadmins] ssh 2007-09-24 11:14 [Sysadmins] ssh Anton Gorlov @ 2007-09-24 12:06 ` Peter V. Saveliev 2007-09-24 12:21 ` Anton Gorlov 2007-09-24 15:19 ` Gennady Kovalev 2007-09-25 13:39 ` Grigory Fateyev 2 siblings, 1 reply; 7+ messages in thread From: Peter V. Saveliev @ 2007-09-24 12:06 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от Monday 24 September 2007 15:14:04 Anton Gorlov написал(а): > Сущесвтует ли хотя бы костыльный способ юзерам у которых щелл по ssh > ограничить свободу передвижения по системе..? > В принципи там и так таким юзерам оидельный vps выдаётся..но всё равно > как-то неаккуратненько получается. > > По пути подумал..а что если в ~/.profile юзера прописать chroot? <skip /> главное после chroot не забыть привилегии дропнуть. а ещё лучше не извращаться, а действительно использовать OVZ/VServer. Лучше первое, проще второе. -- Peter V. Saveliev ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh 2007-09-24 12:06 ` Peter V. Saveliev @ 2007-09-24 12:21 ` Anton Gorlov 2007-09-24 13:00 ` Peter V. Saveliev 0 siblings, 1 reply; 7+ messages in thread From: Anton Gorlov @ 2007-09-24 12:21 UTC (permalink / raw) To: ALT Linux sysadmin discuss Peter V. Saveliev пишет: > главное после chroot не забыть привилегии дропнуть. > а ещё лучше не извращаться, а действительно использовать OVZ/VServer. Лучше > первое, проще второе. так и на весь мир опенвз доступ не хочется выдавать... ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh 2007-09-24 12:21 ` Anton Gorlov @ 2007-09-24 13:00 ` Peter V. Saveliev 2007-09-25 7:05 ` Anton Gorlov 0 siblings, 1 reply; 7+ messages in thread From: Peter V. Saveliev @ 2007-09-24 13:00 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от Monday 24 September 2007 16:21:12 Anton Gorlov написал(а): > Peter V. Saveliev пишет: > > главное после chroot не забыть привилегии дропнуть. > > а ещё лучше не извращаться, а действительно использовать OVZ/VServer. > > Лучше первое, проще второе. > > так и на весь мир опенвз доступ не хочется выдавать... <skip /> в смысле и почему? -- Peter V. Saveliev ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh 2007-09-24 13:00 ` Peter V. Saveliev @ 2007-09-25 7:05 ` Anton Gorlov 0 siblings, 0 replies; 7+ messages in thread From: Anton Gorlov @ 2007-09-25 7:05 UTC (permalink / raw) To: ALT Linux sysadmin discuss >> так и на весь мир опенвз доступ не хочется выдавать... > <skip /> > в смысле и почему? Чем меньше можно пользователю..тем спокойнее.. к тому же там на вартуалке дебиан... а там права на каталоги совсем мягкие..по сравннеию с нами. ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh 2007-09-24 11:14 [Sysadmins] ssh Anton Gorlov 2007-09-24 12:06 ` Peter V. Saveliev @ 2007-09-24 15:19 ` Gennady Kovalev 2007-09-25 13:39 ` Grigory Fateyev 2 siblings, 0 replies; 7+ messages in thread From: Gennady Kovalev @ 2007-09-24 15:19 UTC (permalink / raw) To: 'ALT Linux sysadmin discuss' > Сущесвтует ли хотя бы костыльный способ юзерам у которых щелл по ssh > ограничить свободу передвижения по системе..? > В принципи там и так таким юзерам оидельный vps выдаётся..но всё равно > как-то неаккуратненько получается. > > По пути подумал..а что если в ~/.profile юзера прописать chroot? А если шел ему поменять на свой скриптень с chroot? А в chroot хардлинки? ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ssh 2007-09-24 11:14 [Sysadmins] ssh Anton Gorlov 2007-09-24 12:06 ` Peter V. Saveliev 2007-09-24 15:19 ` Gennady Kovalev @ 2007-09-25 13:39 ` Grigory Fateyev 2 siblings, 0 replies; 7+ messages in thread From: Grigory Fateyev @ 2007-09-25 13:39 UTC (permalink / raw) To: sysadmins Hello Anton Gorlov! On Mon, 24 Sep 2007 15:14:04 +0400 you wrote: > Сущесвтует ли хотя бы костыльный способ юзерам у которых щелл по ssh > ограничить свободу передвижения по системе..? > В принципи там и так таким юзерам оидельный vps выдаётся..но всё > равно как-то неаккуратненько получается. > > По пути подумал..а что если в ~/.profile юзера прописать chroot? Где то видел патч для ssh выдававший юзерам chroot при входе... P.S. http://chrootssh.sourceforge.net/download/ нашёл, и в догонку http://www.brandonhutchinson.com/chroot_ssh.html -- Всего наилучшего! Григорий greg [at] anastasia [dot] ru Письмо отправлено: 2007/09/25 17:34 ^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2007-09-25 13:39 UTC | newest] Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2007-09-24 11:14 [Sysadmins] ssh Anton Gorlov 2007-09-24 12:06 ` Peter V. Saveliev 2007-09-24 12:21 ` Anton Gorlov 2007-09-24 13:00 ` Peter V. Saveliev 2007-09-25 7:05 ` Anton Gorlov 2007-09-24 15:19 ` Gennady Kovalev 2007-09-25 13:39 ` Grigory Fateyev
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git