Rainer Duffner <duffner(at)fh-konstanz.de> wrote:
> kann man Leute, die eine normale Shell haben und sich mit SSH
> einloggen, in Ihr Homedirectory chrooten ?
> Sie sollen dort auch ihre public_html dirs haben, und die mssen
> ja zumindest von httpd group-readable sein.
> Oder wie stelle ich es sonst an, dass User nicht in andere $HOMEs snoopen
> k”nnen ?
Wenn Du es _ganz_ sicher machen willst ...
- Setze für jeden User ein jail auf (siehe dir manpages
jail(2) und jail(8)).
- Jails haben gegenüber chroot den Vorteil, daß man nicht
nur keine Dateien sehen kann, die sich außerhalb befin-
den, sondern auch keine Prozesse und Serversockets. Mit
meinem Patch aus kern/26740 sieht man auch keine Mount-
points außerhalb des jails mehr. Außerdem kann selbst
root nicht mehr aus einem jail ausbrechen. Bei einem
sorgsam eingerichteten jail kann man unter bestimmten
Umständen den Usern sogar das root-Paßwort des jails ge-
ben.
- Wenn Du ausreichend IPs zur Verfügung hast, gib jedem
jail eine eigene IP und laß in jedem jail einen eigenen
ssh auf dieser IP laufen.
- Hast Du nicht genug IPs, dann starte in jedem jail einen
sshd auf einem eigenen Port. Du mußt dann jedem User
"seine" ssh-Portnummer mitteilen, die er dann z.B. so in
seine ~/.ssh/config eintragen kann:
Host <DEINHOST>
Port <SEINPORT>
- Der httpd darf in dem Fall nicht in einem jail laufen,
so daß er auf die public_html der gejailten User zugrei-
fen kann. _Theoretisch_ könntest Du auch in jedem User-
jail einen eigenen httpd laufen lassen, und außerhalb
der jails lediglich einen Simpel-httpd, der zu den ein-
zelnen gejailten einen Redirect ausspuckt (oder per
ProxyPass transparent durchreicht), aber das wäre wahr-
scheinlich wirklich Overkill. :-)
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sun 10 Jun 2001 - 13:14:17 CEST