Re: chroot - Dokus zum Thema?
On Sun, Jul 21, 2002 at 04:34:29AM +0200, Waldemar Brodkorb wrote:
ich interessiere mich näher für chroot Umgebungen speziell für: sftp & scp und apache In beiden Fällen rede ich nicht von "einer simplen chroot Umgebung" sondern vom chrooten für jeden Zugang (sprich für jeden Account einen eigenen Apache Server bzw. ssh Umgebung).
UsermodeLinux? Es gibt auch noch so ein Virtual ISP app, mußte mal bei freshmeat und google suchen. Hmm. Vom ersten Eindruck her würde ich: http://www.solucorp.qc.ca/miscprj/s_context.hc dem UsermodeLinux: http://user-mode-linux.sourceforge.net vorziehen. Der Punkt ist jedoch, dass diese Projekte über den Kern in meinen Augen hinausschiessen und auf "einem kleinen Intel 1200mhz Server" schnell zu PerformanceProblemen führen dürften. Mal ganz abgesehen von dem riesigen Aufwand der *pro* Nutzer anfallen würde.
Gibt es nicht (doch) eine Möglichkeit sftp / scp wie bei FTP-Servern üblich einen DocumentRoot auf ~ zu verpassen? Mit patch von openssh schon. Habe ich für sftp-only Zugang schon mal realisiert. Ist ein kleiner patch gegen sftp-server.c. Also, was ich so über eine google Suche nach: chroot sftp-server.c patch finden konnte, hat mich nicht gerade begeistert. 1. Scheinen diese Entwicklungen noch in den Kinderschuhen zu stecken - weshalb sie wohl noch nicht in die offizielle opensshd Versionen Einzug gefunden zu haben, 2. gibt es noch keine passenden Patches für ein aktuelle opensshd 3.4 Version und 3. würde ich den gefundenen Quellen nicht unbedingt grösstes Vertrauen entgegenbringen.
Schade eigentlich, wäre eine feine Sache, wenn ich "den Ultimativen Hinweislink" blos übersehen hätte oder in den nächsten Monaten die Entwicklung in das opensshd Projekt einzug fände. greetinXs, Telefon: 07275/618351 MSH-Webservice Handy: 0173/3071899 Michael Hilscher Telefax: 07275/618352 -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
* Michael Hilscher wrote on 21 Jul 2002:
On Sun, Jul 21, 2002 at 04:34:29AM +0200, Waldemar Brodkorb wrote:
ich interessiere mich näher für chroot Umgebungen speziell für: sftp & scp und apache In beiden Fällen rede ich nicht von "einer simplen chroot Umgebung" sondern vom chrooten für jeden Zugang (sprich für jeden Account einen eigenen Apache Server bzw. ssh Umgebung).
UsermodeLinux? Es gibt auch noch so ein Virtual ISP app, mußte mal bei freshmeat und google suchen. Hmm. Vom ersten Eindruck her würde ich: http://www.solucorp.qc.ca/miscprj/s_context.hc dem UsermodeLinux: http://user-mode-linux.sourceforge.net vorziehen. Der Punkt ist jedoch, dass diese Projekte über den Kern in
UML ist besser. In einer VServer-Box geht z.B. kein ping. In einer UML-Box merkt man kaum einen Unterschied. Performancetechnisch ist UML schlechter dran, das es limitiert ist.
meinen Augen hinausschiessen und auf "einem kleinen Intel 1200mhz Server" schnell zu PerformanceProblemen führen dürften. Mal ganz abgesehen von dem riesigen Aufwand der *pro* Nutzer anfallen würde.
Gibt es nicht (doch) eine Möglichkeit sftp / scp wie bei FTP-Servern üblich einen DocumentRoot auf ~ zu verpassen? Mit patch von openssh schon. Habe ich für sftp-only Zugang schon mal realisiert. Ist ein kleiner patch gegen sftp-server.c. Also, was ich so über eine google Suche nach: chroot sftp-server.c patch finden konnte, hat mich nicht gerade begeistert. 1. Scheinen diese Entwicklungen noch in den Kinderschuhen zu stecken - weshalb sie wohl noch nicht in die offizielle opensshd Versionen Einzug gefunden zu haben, 2. gibt es noch keine passenden Patches für ein aktuelle opensshd 3.4 Version und 3. würde ich den gefundenen Quellen nicht unbedingt grösstes Vertrauen entgegenbringen.
Schade eigentlich, wäre eine feine Sache, wenn ich "den Ultimativen Hinweislink" blos übersehen hätte oder in den nächsten Monaten die Entwicklung in das opensshd Projekt einzug fände.
Greetz, Tom -- Preissler Thomas Registered Linux User #265745 GPG-Key: 1024D/C21DAB7F http://counter.li.org/
Hallo Michael, Michael Hilscher wrote,
On Sun, Jul 21, 2002 at 04:34:29AM +0200, Waldemar Brodkorb wrote:
ich interessiere mich näher für chroot Umgebungen speziell für: sftp & scp und apache In beiden Fällen rede ich nicht von "einer simplen chroot Umgebung" sondern vom chrooten für jeden Zugang (sprich für jeden Account einen eigenen Apache Server bzw. ssh Umgebung).
UsermodeLinux? Es gibt auch noch so ein Virtual ISP app, mußte mal bei freshmeat und google suchen. Hmm. Vom ersten Eindruck her würde ich: http://www.solucorp.qc.ca/miscprj/s_context.hc dem UsermodeLinux: http://user-mode-linux.sourceforge.net vorziehen. Der Punkt ist jedoch, dass diese Projekte über den Kern in meinen Augen hinausschiessen und auf "einem kleinen Intel 1200mhz Server" schnell zu PerformanceProblemen führen dürften. Mal ganz abgesehen von dem riesigen Aufwand der *pro* Nutzer anfallen würde.
Ich meinte diese Software: http://www.freevsd.org/ Wieviel Benutzer erwartest du auf der 1,2 GHz mühle? Vorallem wieviel RAM hat der Rechner?
Gibt es nicht (doch) eine Möglichkeit sftp / scp wie bei FTP-Servern üblich einen DocumentRoot auf ~ zu verpassen? Mit patch von openssh schon. Habe ich für sftp-only Zugang schon mal realisiert. Ist ein kleiner patch gegen sftp-server.c. Also, was ich so über eine google Suche nach: chroot sftp-server.c patch finden konnte, hat mich nicht gerade begeistert. 1. Scheinen diese Entwicklungen noch in den Kinderschuhen zu stecken - weshalb sie wohl noch nicht in die offizielle opensshd Versionen Einzug gefunden zu haben, 2. gibt es noch keine passenden Patches für ein aktuelle opensshd 3.4 Version und 3. würde ich den gefundenen Quellen nicht unbedingt grösstes Vertrauen entgegenbringen.
Entkräftigungsversuche deiner Argumente gegen die Patches: zu 1.) Der Grund warum diese nicht im Maintree sind liegt eher darin begründet das die Programmierer von OpenSSH (meist auch OpenBSD-Hacker) eine andere Philisophie vertreten. Software wird möglichst sicher programmiert und es werden keine "Käfige" um buggy-Software gebaut. Deswegen wurde auch "PrivilegeSeparation" eingeführt, um die Anteile von Routinen die unter der effektiven UID null ausgeführt werden, möglichst gering zu halten. Die chroot-Funktion ist niemals als Sicherheitsfeature angedacht worden. Es gibt zwar Erweiterungen dieses SystemCalls z.B. unter FreeBSD mit jail oder Linux mit dem GRsecurity-Patch, um die Möglichkeit eines "Ausbruchs" zu verringern, aber ob dieser Code dann nicht wiederum Bugs enthält weißt du auch nicht ;) zu 2.) Escape character is '^]'. SSH-1.99-OpenSSH_3.4p1 Debian 1:3.4p1-2 Und der ist gepatcht. Wenn man sich den trivialen Patch anschaut, weiß man auch das es keinen Stress macht. zu 3.) Da muß ich dir recht geben, allerdings halte ich es so, das ich nur den sftp-server-Code patche, dieser wird _nach_ erfolgreicher Authentifizierung als Subsystem vom sshd gestartet, sodaß ich die Gefahr eines unerkannten exploits als gering einschätze. Außerdem können nur berechtigte User bis dahin gelangen, außer sshd enthält den Exploit. Die sftp-server Applikation muß mit dem SUID-Bit versehen werden, um den SystemCall chroot benutzen zu können, kurz danach wird aber dieses Privileg wieder abgelegt. .. waldemar 17819 3.6 1.9 3164 1216 ? S 21:23 0:00 /usr/lib/sftp-server ...
Schade eigentlich, wäre eine feine Sache, wenn ich "den Ultimativen Hinweislink" blos übersehen hätte oder in den nächsten Monaten die Entwicklung in das opensshd Projekt einzug fände.
fork it ;) http://msgs.securepoint.com/cgi-bin/get/openssh-unix-dev-0205/156/2/1/1/1.ht... und viele weitere discussions ... gruß Waldemar -- 8485 D0CE 2743 656E 867C 5C93 0317 AFD8 BE21 BD90
On Mon, Jul 22, 2002 at 09:30:28PM +0200, Waldemar Brodkorb wrote:
Hmm. Vom ersten Eindruck her würde ich: http://www.solucorp.qc.ca/miscprj/s_context.hc dem UsermodeLinux: http://user-mode-linux.sourceforge.net vorziehen. Der Punkt ist jedoch, dass diese Projekte über den Kern in meinen Augen hinausschiessen und auf "einem kleinen Intel 1200mhz Server" schnell zu PerformanceProblemen führen dürften. Mal ganz abgesehen von dem riesigen Aufwand der *pro* Nutzer anfallen würde.
Ich meinte diese Software: http://www.freevsd.org/ Auch sehr interessant. Kommt Zeit kommt checkout ...
Wieviel Benutzer erwartest du auf der 1,2 GHz mühle? Vorallem wieviel RAM hat der Rechner? Die Benutzeranzahl steigt mtl. Sobald es für die Kiste zu viel wird kommt halt ne Zweite. Es ist aber die Frage ob sich Aufwand generell lohnt - zur Zeit müssen sich die Leute eben mit einem FTP-Einmalpasswort und einem sehr restriktiven Apache für alle abfinden.
Zur Zeit sind lediglich 256MB Ram eingebaut. Wie sehen denn Deine Erfahrungswerte (hinsichtlich Benutzeranzahl) aus?
Gibt es nicht (doch) eine Möglichkeit sftp / scp wie bei FTP-Servern üblich einen DocumentRoot auf ~ zu verpassen? Mit patch von openssh schon. Habe ich für sftp-only Zugang schon mal realisiert. Ist ein kleiner patch gegen sftp-server.c. Escape character is '^]'. SSH-1.99-OpenSSH_3.4p1 Debian 1:3.4p1-2
Und der ist gepatcht. Wenn man sich den trivialen Patch anschaut, weiß man auch das es keinen Stress macht. Ja welchen Patch hasst Du denn verwendet - es finden sich mehrere, habe aber wie gesagt ein kleines Vertrauensproblem zu den Quellen. Aber wenn Du Deinen schon länger im Einsatz hast, würde ich mir _diesen_ doch mal näher ansehen :-)
Da muß ich dir recht geben, allerdings halte ich es so, das ich nur den sftp-server-Code patche, dieser wird _nach_ erfolgreicher Authentifizierung als Subsystem vom sshd gestartet, sodaß ich die Gefahr eines unerkannten exploits als gering einschätze. Außerdem können nur berechtigte User bis dahin gelangen, außer sshd enthält den Exploit.
Die sftp-server Applikation muß mit dem SUID-Bit versehen werden, um den SystemCall chroot benutzen zu können, kurz danach wird aber dieses Privileg wieder abgelegt. Hmm: ist es möglich sftp Zugang für XY zu gewähren aber ssh Zugang zu verbieten? Es wäre doch Unsinn wenn sftp chrooted wird aber ssh "frei zur Verfügung steht"?
greetinXs, Telefon: 07275/618351 MSH-Webservice Handy: 0173/3071899 Michael Hilscher Telefax: 07275/618352 -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
Hallo Michael, Michael Hilscher wrote,
On Mon, Jul 22, 2002 at 09:30:28PM +0200, Waldemar Brodkorb wrote:
Hmm. Vom ersten Eindruck her würde ich: http://www.solucorp.qc.ca/miscprj/s_context.hc dem UsermodeLinux: http://user-mode-linux.sourceforge.net vorziehen. Der Punkt ist jedoch, dass diese Projekte über den Kern in meinen Augen hinausschiessen und auf "einem kleinen Intel 1200mhz Server" schnell zu PerformanceProblemen führen dürften. Mal ganz abgesehen von dem riesigen Aufwand der *pro* Nutzer anfallen würde.
Ich meinte diese Software: http://www.freevsd.org/ Auch sehr interessant. Kommt Zeit kommt checkout ...
Wieviel Benutzer erwartest du auf der 1,2 GHz mühle? Vorallem wieviel RAM hat der Rechner? Die Benutzeranzahl steigt mtl. Sobald es für die Kiste zu viel wird kommt halt ne Zweite. Es ist aber die Frage ob sich Aufwand generell lohnt - zur Zeit müssen sich die Leute eben mit einem FTP-Einmalpasswort und einem sehr restriktiven Apache für alle abfinden.
Zur Zeit sind lediglich 256MB Ram eingebaut. Wie sehen denn Deine Erfahrungswerte (hinsichtlich Benutzeranzahl) aus?
Ich habe ja nur cvs und sftp gechrootet. Apache und SSH läuft real. Wenn du Apache, MySQL und SSH Instanzen für jeden gechrootet anbieten willst, wird es halt irgendwann den Hauptspeicher aufbrauchen.
Gibt es nicht (doch) eine Möglichkeit sftp / scp wie bei FTP-Servern üblich einen DocumentRoot auf ~ zu verpassen? Mit patch von openssh schon. Habe ich für sftp-only Zugang schon mal realisiert. Ist ein kleiner patch gegen sftp-server.c. Escape character is '^]'. SSH-1.99-OpenSSH_3.4p1 Debian 1:3.4p1-2
Und der ist gepatcht. Wenn man sich den trivialen Patch anschaut, weiß man auch das es keinen Stress macht. Ja welchen Patch hasst Du denn verwendet - es finden sich mehrere, habe aber wie gesagt ein kleines Vertrauensproblem zu den Quellen. Aber wenn Du Deinen schon länger im Einsatz hast, würde ich mir _diesen_ doch mal näher ansehen :-)
Kommt per PM.
Da muß ich dir recht geben, allerdings halte ich es so, das ich nur den sftp-server-Code patche, dieser wird _nach_ erfolgreicher Authentifizierung als Subsystem vom sshd gestartet, sodaß ich die Gefahr eines unerkannten exploits als gering einschätze. Außerdem können nur berechtigte User bis dahin gelangen, außer sshd enthält den Exploit.
Die sftp-server Applikation muß mit dem SUID-Bit versehen werden, um den SystemCall chroot benutzen zu können, kurz danach wird aber dieses Privileg wieder abgelegt. Hmm: ist es möglich sftp Zugang für XY zu gewähren aber ssh Zugang zu verbieten?
Klar.
Es wäre doch Unsinn wenn sftp chrooted wird aber ssh "frei zur Verfügung steht"?
Jupp. # ssh waldemar@fqdn This is a restricted account. You cannot execute anything here. Goodbye. Connection to fqdn closed. Ziel war es eine sichere Möglichkeit zum Upload und zur Benutzung von CVS zu implementieren. Beides wird über SSH geregelt. Btw: Das kommerzielle SSH von ssh.com macht auch nix anderes als ne restricted shell, in der chroot() ausgeführt wird :) In meinem Fall ist die Shell ein Perlskript, welches nur bestimmte Befehle (cvs, /usr/lib/sftp-server) erlaubt. Kommt auch per PM. gruß Waldemar -- 8485 D0CE 2743 656E 867C 5C93 0317 AFD8 BE21 BD90
participants (3)
-
Michael Hilscher
-
Thomas Preissler
-
Waldemar Brodkorb