常见问题常见问题   搜索搜索   会员列表会员列表   团队团队   注册注册    个人资料个人资料   登录查看您的站内信件登录查看您的站内信件   登录登录 

ssh chroot

 
发表新文章   这个论题已经被锁定,您不能发表、回复或者编辑文章。    FreeBSD China -> 安装-配置-优化-安全
阅读上一个主题 :: 阅读下一个主题  
作者 留言
hunreal
道士


注册时间: 2002-06-30
文章: 951

文章发表于: Tue 2004-09-21 21:32:26    发表主题: ssh chroot 引用并回复

原创文章,转载请注明

Openssh的chroot
1.建立chroot环境,假设在 /data/chroot 开始我们的chroot
mkdir /data/chroot

2.a 建立device,FreeBSD 4.x
mkdir /data/chroot/dev
cd /data/chroot/dev
cp /dev/MAKEDEV .
sh MAKEDEV jail
2.b 建立device,FreeBSD 5.x
mkdir /data/chroot/dev
mount_devfs devfs /data/chroot/dev

3. 复制一些执行程序,创建一些目录环境
cd /data/chroot
cp -R /bin bin
mkdir -p usr/lib usr/libexec usr/sbin var/run var/log
cp -R /usr/bin usr/bin
cp -R /usr/lib usr/lib/
cp /usr/libexec/ld-elf.so.1 usr/libexec
cp /usr/sbin/pwd_mkdb /usr/sbin/vipw usr/sbin/
touch var/run/utmp var/log/wtmp

mkdir -p etc usr/share/misc/
cp /usr/share/misc/termcap usr/share/misc/
ln -s /usr/share/misc/termcap etc/termcap
cp /etc/pam.conf /etc/shells etc
mkdir -p var/tmp tmp
chmod 777 tmp var/tmp

4. 创建用户和组
pw -V etc groupadd wheel -g 0
pw -V etc groupadd user -g 10000
touch etc/master.passwd
pw -V etc useradd root -u 0 -d /root -g wheel -s /bin/csh -h 0
pw -V etc useradd user -u 10000 -d /home/user -g user -s /bin/csh -h 0
pwd_mkdb -d etc etc/master.passwd
chmod u+s usr/bin/passwd usr/bin/chfn usr/bin/chpass usr/bin/chsh

5. 复制ssh配置文件和key
cp -R /etc/ssh etc/ssh

6. 编辑sshd配置文件让sshd不需要使用sshd用户启动
找到#UsePrivilegeSeparation yes一行,修改为UsePrivilegeSeparation no
vi etc/ssh/sshd_config

7. 创建用户homedir
mkdir -p home/user root
chown -R 10000:10000 home/user/

8.下载并且编译chroot_safe
下载地址 http://chrootsafe.sourceforge.net/ 并且解包
./configure;make;make install
rehash

9. 运行sshd进行chroot
chroot_safe root /data/chroot /usr/sbin/sshd -p 22222

这个将会在22222端口打开这个 chroot 的sshd, 现在可以通过连接22222端口进行登录
如果仅仅只是chroot一个用户,可以少复制很多文件

另外,你可以直接chroot一个shell,然后更改用户的shell为那个
chroot_safe不能对静态程序起效,因此系统中的/bin/sh bin/csh /bin/tcsh都不能用
返回页首
阅览会员资料 发送站内信件
nightkat
半仙


注册时间: 2004-07-06
文章: 25

文章发表于: Wed 2004-09-22 16:50:41    发表主题: 引用并回复

谢谢!
返回页首
阅览会员资料 发送站内信件 发送电子邮件 浏览发表者的主页
hunreal
道士


注册时间: 2002-06-30
文章: 951

文章发表于: Thu 2004-09-23 21:47:16    发表主题: 引用并回复

?????怎么标题加了个转载?
返回页首
阅览会员资料 发送站内信件
DeepSix
半仙


注册时间: 2005-01-18
文章: 28

文章发表于: Sun 2005-03-27 11:13:24    发表主题: 引用并回复

BSD自带了jail的工具.而且也简单多了.
_________________
返回页首
阅览会员资料 发送站内信件
从以前的文章开始显示:   
发表新文章   这个论题已经被锁定,您不能发表、回复或者编辑文章。    FreeBSD China -> 安装-配置-优化-安全 论坛时间为 北京时间
1页/共1

 
转跳到:  
不能发布新主题
不能在这个论坛回复主题
不能在这个论坛编辑自己的文章
不能在这个论坛删除自己的文章
不能在这个论坛发表投票


Powered by phpBB 2023cc © 2003 Opensource Steps; © 2003-2009 The FreeBSD Simplified Chinese Project
Powered by phpBB © 2001, 2005 phpBB Group
Protected by Project Honey Pot and phpBB.cc
silvery-trainer
The FreeBSD China Project 网站: 中文计划网站 社区网站
The FreeBSD China Project 版权所有 (C) 1999 - 2003 网页设计版权 著作权和商标