[FUGSPBR] SSH Chroot

Eduardo Augusto Alvarenga eduardo-fugspbr.1acd40 em thrx.dyndns.org
Ter Abr 15 10:55:43 BRT 2003 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Tue, 15 Apr 2003, Renato Botelho wrote:

> Entao, eu tinha achado isso no google, vou dar uma procurada e se achar
> novamente te mando, eu acabei optando por usar o "bash -r" mesmo, e agora
> estou vendo se dou uma melhorada na seguranca do ssh mesmo, tipo fazer um
> controle por chave, quem nao tiver a chave nao loga, me parece que isso
> funciona, aih vou fazer esse controle por chave, usuario e senha e shell
> restrito, acho que fica bem seguro... =)

Eu uso um shell que prende o usuário em um ambiente chroot muito bem:

- --
#!/bin/sh
if [ "$1" = "-c" ]; then
        i=0;
        PARAMS="";
                for param in $*; do
                        if [ $i -gt 0 ]; then
                                PARAMS="$PARAMS $param";
                        fi
                        let i++;
                done;
                sudo /usr/sbin/chroot /var/chroot /usr/bin/su - $USER -c "$PARAMS"
        else
                sudo /usr/sbin/chroot /var/chroot /usr/bin/su - $USER
fi;
- --

Eu a batizei de "chroots". Para isso você deve configurar o ambiente
chroot em /var/chroot, criando os diretórios etc, home, var, usr e seus
arquivos necessários (utilize o ldd para saber as dependências de cada
executável).

Após isso você deve configurar o usuário com essa shell, em um grupo
digamos "chroot" e via sudo, liberar o acesso a esse grupo:

/etc/sudoers (via # visudo)
- --
%chroot              ALL= NOPASSWD: /usr/sbin/chroot /var/chroot /usr/bin/su *
- --


Atenciosamente,

- -- 
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
 Eduardo A. Alvarenga - Analista de Suporte #179653
      Centro Estratégico Integrado - SEGUP-PA
      Belém, Pará - (91) 259-0555 / 8116-0036
    eduardo@{thrx.dyndns.org,cei.ssp.pa.gov.br}
- -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  OpenBSD Consultant: www.openbsd.org/support.html
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (OpenBSD)

iD8DBQE+nA9hpKK2uJoGDlMRAvwUAKCWaxhHce0HZ9takVQWx+rQaEsC7wCdETOJ
Ro99y91GorWyCQ2+mD2Tg0o=
=w9x4
-----END PGP SIGNATURE-----

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd