Hallo Liste, ich brauche mal wieder eure Hilfe :o) Folgende Situation : es existiert eine chroot-Umgebung im Verzeichnis /chroot. Dort gibt es alle nötigen Verzeichnisse, damit der user eine "fast normale" Umgebung vorfindet. Es existieren im /chroot also folgende Verzeichnisse : etc , home , lib, dev , var, usr , proc. Alles natürlich "abgespeckt" , nur mit dem "Nötigstem" versehen. Ansonsten können und sollen die user sich austoben ... Wenn ein (ich nenne das mal) chroot-user sich einloggt, passiert folgendes : Als loginshell wird ein kleines Programm aufgerufen, das den user überprüft (root ?, Homedir ?, etc) , dann wird ein chroot nach /chroot ausgeführt, ins user-Verzeichnis gewechselt und dann die shell aufgerufen , in diesem Fall bash. Das funktioniert prima. So, wenn der user jetzt sein Passwort ändern will, ruft er passwd auf ändert das Passwort, fertig. Und da liegt natürlich der Hund begraben, denn er ändert das Passwort in der Datei /chroot/etc/shadow, das ist auch okay so, denn für den user ist das ja /etc/shadow ... Leider wird beim login aber das Passwort mit dem Eintrag in /etc/shadow und eben nicht mit dem in /chroot/etc/shadow verglichen. Der user kann also sein Passwort ändern wie er will, es wird beim login nicht das geänderte Passwort verwendet :o( Der einzige Ausweg aus dieser Falle ist wahrscheinlich Authentifizierung über LDAP .. Seht ihr einen anderen Ausweg aus dieser Falle ? Grüße Harry -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!
Hy, Harry Rüter wrote: [Probleme eine passwort Änderung im chroot durchzuführen] Ich weiss nicht ob das geht, aber vielleicht kannst Du die <chroot>/etc/shadow in der /etc/shadow sourcen. -- - maik
Hallo: Maik Holtkamp wrote:
Hy,
Harry Rüter wrote:
[Probleme eine passwort Änderung im chroot durchzuführen]
Ich weiss nicht ob das geht, aber vielleicht kannst Du die <chroot>/etc/shadow in der /etc/shadow sourcen.
Wenn ich deine Idee richtig verstehe, geht das nicht. Denn hier hat ja jeder User seine eigene Chroot-Umgebung und damit seine eigene /etc/passwd. Man müßte also die wirkliche passwd aus den Auszügen der jeweiligen user aller passwds zusammenstellen. Das sollte mit skripts gehen, obs ne einfachere Lösung gibt, leider keine Ahnung.... Bernd -- MfG, Bernd Tannenbaum Technik Zentrum I.T.E.N.O.S. GmbH Lievelingsweg 125 53119 Bonn Tel.: +49 (0)228 / 7293-230 E-Mail: tannenbaum@itenos.de Internet: www.itenos.de One OS to rule them all, one OS to find them. One OS to bring them all, and in the darkness bind them In the land of Redmond, where the shadows lie.
Hi, Bernd Tannenbaum wrote:
Hallo:
Maik Holtkamp wrote:
Hy,
Harry Rüter wrote:
[Probleme eine passwort Änderung im chroot durchzuführen]
Ich weiss nicht ob das geht, aber vielleicht kannst Du die <chroot>/etc/shadow in der /etc/shadow sourcen.
Wenn ich deine Idee richtig verstehe, geht das nicht.
Denn hier hat ja jeder User seine eigene Chroot-Umgebung und damit seine eigene /etc/passwd.
Nee, das hast du falsch verstanden, alle "chroot-user" habe eine gemeinsame chroot-Umgebung.
Man müßte also die wirkliche passwd aus den Auszügen der jeweiligen user aller passwds zusammenstellen. Das sollte mit skripts gehen, obs ne einfachere Lösung gibt, leider keine Ahnung....
Keine wirkliche Lösung, denn wenn ein user sein Passwort ändert, sollte die Änderung unmittelbar sein, also sich sofort (in diesem Fall) auf die /etc/shadow auswirken. Kein User komt aus der chroot-Umgebung raus, genausowenig ein von ihm angestossenes script .. Könnte denn das sourcen funktionieren ?
Bernd
Grüße Harry -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!
Hy, Am 02/11/14@15:27 schrieb Harry Rüter:
[Probleme eine passwort Änderung im chroot durchzuführen]
[die chrooted shadows sourcen]
Könnte denn das sourcen funktionieren ?
Nein, geht nicht :(, sorry, hatte heute mittag nix zum testen. Vieleicht kannst Du einen link von der /etc/shadow auf die /<chroot>/etc/shadow legen? Aber, je mehr ich darüber nachdenke, wenn Du den sshd schon chrooted startest, dann sollte er doch auch gegen die "chrottete" etc/shadow authentifizieren und Du wärst alle Probleme sauber los. Du könntest dann ja noch einen normalen sshd starten für Deine Zugriffe auf die Kiste. Die chrootet user brauchen dann gar nicht in /etc/[passwd|shadow] auftauchen. Vielleicht findest Du aber auch ein gepatchtes passwd, was macht was Du willst. Ich dachte erst an ein script aber, dann bekommst Du Probleme mit setuid und ohne wird Dir das malen in der shadow schwerfallen. Ich kenne mich mit chroot nicht besonders aus, daher alles IMHO aber HTH. -- bye maik
participants (3)
-
Bernd Tannenbaum
-
Harry Rüter
-
Maik Holtkamp