chroot

danielhhrulez · **Verfasst:** 23.06.2004 20:21

wieos root als ssh abschalten?

wie soll ich yast ausführne sonst? oder nen reboot machen oder ggf httpd neustarten?

desweiteren weiß ich immernoch nciht wie ich es amchen soll. komme mit deiner beschreibung nicht gnaz klar :wall:

cli · **Verfasst:** 25.06.2004 13:21

zum root:
nicht den root generell abschalten, sondern nur dem root verbieten, sich direkt per ssh einzuloggen -> mehr sicherheit, ausserdem siehst du dann, wer sich wirklich eingeloggt hat

zum chroot:
welcher punkt / was ist dir denn nicht klar?

cu

cli

danielhhrulez · **Verfasst:** 25.06.2004 13:43

Antimac hat geschrieben:

Nebenbei, root-Zugang würde ich bei ssh abstellen, man hat ja su und sudo.

Ansonsten; mit "lan" einloggen, ich erklär dir mal den Ablauf (so wie ich mir das denke);
nach der shell.
Da wir den Benutzer (lan) ja nur in's HL-Server-rootverzeichnis [chroot = change root (directory)] lassen wollen steht dazu in der passwd dann "chroot /HL-Ordner/ /die/shell".
Damit wird dann 'chroot' ausgeführt welches dann die shell in dem neuen root-Verzeichnis (''/')ausführt.
Das machen wir weil wir nur Programme in dem neuen Root-Verzeichnis benutzen können.
Dort könntest du dann den hl-Server auch starten.

Zumindest eine Möglichkeit, denke ich.

Schau dich mal um was chroot ueberhaupt macht, und/oder lies die manpage, ich glaub du hast einen falschen Eindruck davon.

antimac

also ich soll in der /etx/passwd

lan:x:65001:100:LAN Games:/usr/local/halflife:/bin/bash

in

lan:x:65001:100:LAN Games:chroot /usr/local/halflife:/bin/bash

ändern?

Antimac · **Verfasst:** 25.06.2004 16:45

Nein, meine Variante haut nicht so hin, ich dachte eher

Zitat:

lan:x:65001:100:LAN Games:/:chroot /usr/local/halflife /bin/bash

Da man aber so ein Kommando dort nicht angeben kann und bei einem shellscript die shell selber ein suid-bit haben müsste, müsstest du ein kleines Wrapperprogramm nehmen:

Code:

#include <unistd.h>
#include <sys/types.h>

int main()
{
    execl("/usr/sbin/chroot", "/usr/sbin/chroot", "/deinverzeichnis", "/dieshell", NULL);
    return 0;
}

Das kompilieren (gcc $dasobenals.c -o binary") und das SUID Bit drauf setzen.
Gibt bestimmt noch andere Möglichkeiten, aber mir fällt jetzt nur das ein.

Zitat:

lan:x:65001:100:LAN Games:/einpfad:/einpfad/dasbinary

Am besten das mit dem sshd-chroot sein lassen.
Wieso möchtest du eigentlich das mit dem sshd machen?

Ciao,
antimac.

EDIT: Den Source ohne "&" Zeichen. NIKEEE, mach das bitte weg! :cry:

danielhhrulez · **Verfasst:** 25.06.2004 17:07

ich will, das das spiel nicht auf den rest vom system zugrifen kann, man weiß ja nie was da an sicherheitslücke bei sind. und wenn ich für lan den ssh login rausgeb paar leuten und ggf. das spiel zu erweitern an maps oder mods will ihc nciht das die auf mein system zugreifen können also meienn wichtigen daten.

was chroot angeht bin ich nen DAU

also bitte möglichst gut vorkauen, danke

Antimac · **Verfasst:** 25.06.2004 17:32

Zitat:

ich will, das das spiel nicht auf den rest vom system zugrifen kann

Schon klar, hat aber nix mit dem sshd zu tun, wie das geht steht mehrmals hier im Thread

Zitat:

und wenn ich für lan den ssh login rausgeb paar leuten und ggf. das spiel zu erweitern an maps oder mods will ihc nciht das die auf mein system zugreifen können also meienn wichtigen daten.

Kannst' doch einen User einrichten der nur darauf zugreifen kann (und eben auf Dateien welche für others read/write/executable sind), für den eben noch das Homeverzeichniss

Zitat:

also bitte möglichst gut vorkauen, danke

Was hält dich vom lesen/lernen ab? Ich glaub ich hab mich jetzt mehr damit beschäftigt als du.

Btw. du kannst Programme per sudo und/oder su als root ausführen. (sie man-pages)

antimac

danielhhrulez · **Verfasst:** 25.06.2004 17:41

im thread steht andauernt was von libs

ich habe nen extra benutzer erstellt, aber wenn ich mit mit dem benutzer per ssh einlogge komme ich auch auf andere bereiche im system.

ich will eigendlich nur, das der benutzer per ssh nicht aus dem halflife ordner kommt.

cli · **Verfasst:** 26.06.2004 00:17

hrhr, lib's sind geil - nee, das desshalb:
die meisten programme sind dynamisch gelinkt (so normalerweise auch sshd)- sprich die bibliotheksaufrufe werden dynamisch behandelt und sind nicht direkt in den binaries enthalten. wenn du jetzt eine chroot-umgebung aufsetzt, wirst du darin gewisse programme laufen lassen wollen (ls, cp, mv, less, vim, ..., und natürlich auch halflife) => diese programme benötigen libraries um in der chrooted umgebung laufen zu können (wie der user können sie auch nicht auf den rest des systems zugreifen) - welche lib's da benötigt werden, findet das von mir oben angegebene script heraus.

jetzt muss ich nochmals nachfragen - willst du, dass ein paar user in der chrooted umgebung eingesperrt werden, soll der halflife-server ge-chrooted werden oder willst du beides machen?

antimac hat schon ein paar sachen zum server geschrieben - wenn du user per ssh chrooten willst, wird's komplizierter. ich hab das mit einem debian am laufen - da musste ich den sshd patchen damit das so funktionierte. schau doch mal da: http://www.brandonhutchinson.com/chroot_ssh.html

cu

cli

danielhhrulez · **Verfasst:** 26.06.2004 00:28

ich will nur den verdamten server chrooten, wenn möglich auch den dazugehörigen user lan der auch besitzer der ordner und datein ist.

Antimac · **Verfasst:** 26.06.2004 01:34

Wir versuchen dir alles, teilweise von Grund auf, zu erklären aber du kommst scheinbar immer nur damit, dass du das alles gar nicht wissen willst, wir werden dir jetzt hier sicherlich kein auf dich zugeschnittenes Tutorial schreiben, sowas fällt dann auch schon unter Dienstleistung.

Ich weis gar nicht ob du eigentlich alles liest was wir hier schreiben, du weisst scheinbar immernoch nicht genau was ein chroot-jail ist.
:wall:

antimac

moep · **Beiträge:** 21 Registriert: 01.10.2005 15:38

wenn du es auf bestimmte verzeichnisse chrooten willst das userlein, beachte das ne hl install den ordner .steam im homeverz. brauch^^

Gast · **Verfasst:** 01.10.2005 15:51

moep hat geschrieben:

wenn du es auf bestimmte verzeichnisse chrooten willst das userlein, beachte das ne hl install den ordner .steam im homeverz. brauch^^

Schon wieder ein Leichenschänder.
Haste Mal aufs Datum geguckt? :hihi:

=>

Zitat:

BeitragVerfasst am: 26.06.2004 01:34 Titel: Re: chroot