ФорумРазработкаУстановка и администрирование ПОВебсервер → Есть тут гуру настройки SSHD под линуксом?

Есть тут гуру настройки SSHD под линуксом?

  • mario

    Сообщения: 6067 Репутация: N Группа: Джедаи

    Spritz 16 ноября 2010 г. 9:47, спустя 13 минут 56 секунд

    а какже клиенты хотящие ssh доступ?

    да бога ради… на тебе доступ… максимум что можешь делать, так это работать со своими файлами. А перезагружать апчач/нжинкс/др.веб-сервер и что либо еще рутовское им нахуй не нужно…
  • Mars

    Сообщения: 304 Репутация: N Группа: Кто попало

    Spritz 16 ноября 2010 г. 9:48, спустя 1 минуту 5 секунд


    а какже клиенты хотящие ssh доступ?

    да бога ради… на тебе доступ… максимум что можешь делать, так это работать со своими файлами. А перезагружать апчач/нжинкс/др.веб-сервер и что либо еще рутовское им нахуй не нужно…


    да ну? а какже всякие дыры типа дыра с ln
  • mario

    Сообщения: 6067 Репутация: N Группа: Джедаи

    Spritz 16 ноября 2010 г. 9:50, спустя 2 минуты 35 секунд

    да ну? а какже всякие дыры типа дыра с ln

    какая? )
    Спустя 15 сек.
    типа файло видеть и ссылку на него ставить?
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 16 ноября 2010 г. 9:53, спустя 2 минуты 10 секунд

    да ну? а какже всякие дыры типа дыра с ln

    ссылка ничего не значит, если нет прав у тебя на чтение этого файла.
    Сапожник без сапог
  • mario

    Сообщения: 6067 Репутация: N Группа: Джедаи

    Spritz 16 ноября 2010 г. 9:56, спустя 3 минуты 41 секунду

    Mars, вон в подписи у мну ссылка на хостинг, там дают доступ ссх, есть месяц бесплатны, можешь взять и потестить ))
  • Mars

    Сообщения: 304 Репутация: N Группа: Кто попало

    Spritz 16 ноября 2010 г. 9:58, спустя 1 минуту 57 секунд


    Mars, вон в подписи у мну ссылка на хостинг, там дают доступ ссх, есть месяц бесплатны, можешь взять и потестить ))


    я тебе даже скажу как его убить
    Спустя 12 сек.
    надо?
  • mario

    Сообщения: 6067 Репутация: N Группа: Джедаи

    Spritz 16 ноября 2010 г. 10:03, спустя 4 минуты 26 секунд



    Mars, вон в подписи у мну ссылка на хостинг, там дают доступ ссх, есть месяц бесплатны, можешь взять и потестить ))


    я тебе даже скажу как его убить
    Спустя 12 сек.
    надо?
    ага :))) будет интересно )
  • Sin

    Сообщения: 80 Репутация: N Группа: Адекваты

    Spritz 16 ноября 2010 г. 10:12, спустя 9 минут 4 секунды

    Сам по себе sshd такого не может. Нужно ограничивать средствами шелла. Вот тебе солюшен:

    создаем директорию с разрешенными командами:
    mkdir /restricted_bin
    в нее делаем симлинки с разрешенными командами:
    ln -s /bin/ls /restricted_bin
    ln -s /bin/cat /restricted_bin
    … и т.д.

    Дальше заставляем ссш запустить при логине юзера bash в resticted режиме. Добавляем в конец /etc/ssh/sshd_config:
    Match User НУЖНЫЙЮЗЕРНЭЙМ
    ForceCommand PATH=/restricted_bin /bin/bash -r

    Рестартуем sshd.
    Готово! Юзернэйм не сможет выполнять команд, кроме тех, что в /restricted_bin или встроенны в баш типа pwd, не сможет вызвать команд из своего хоума или с прямым указанием пути типа /usr/bin/mc , и прочие вкусности (если интересно - вкусности в главе RESTRICTED SHELL из man bash).

    Примечание: ни в коем случае нельзя добавлять в /restricted_bin команд mc или vi, так как они способны запускать свой собственный, полноценный, шелл.

    PS: насчет "что такое jail" - это типо chroot в линуксе. Но тут вопрос стоял не о полноценном изолированном окружении, а об ограничении набора команд. Построение chroot - из пушки по воробьям и тема целого HOWTO (здесь, например: http://slackworld.berlios.de/2007/chroot_howto.html )
  • Mars

    Сообщения: 304 Репутация: N Группа: Кто попало

    Spritz 16 ноября 2010 г. 10:12, спустя 35 секунд




    Mars, вон в подписи у мну ссылка на хостинг, там дают доступ ссх, есть месяц бесплатны, можешь взять и потестить ))


    я тебе даже скажу как его убить
    Спустя 12 сек.
    надо?
    ага :))) будет интересно )



    добавь в крон задание каждую минуту /usr/bin/perl -e "while(1){ fork(); }"
  • Sin

    Сообщения: 80 Репутация: N Группа: Адекваты

    Spritz 16 ноября 2010 г. 10:14, спустя 1 минуту 35 секунд

    Ухх флудеры… пока инструкцию писал, всю тему заcр@7& успели и друг с другом погрызлись : D
  • Mars

    Сообщения: 304 Репутация: N Группа: Кто попало

    Spritz 16 ноября 2010 г. 10:18, спустя 3 минуты 52 секунды


    Сам по себе sshd такого не может. Нужно ограничивать средствами шелла. Вот тебе солюшен:

    создаем директорию с разрешенными командами:
    mkdir /restricted_bin
    в нее делаем симлинки с разрешенными командами:
    ln -s /bin/ls /restricted_bin
    ln -s /bin/cat /restricted_bin
    … и т.д.

    Дальше заставляем ссш запустить при логине юзера bash в resticted режиме. Добавляем в конец /etc/ssh/sshd_config:
    Match User НУЖНЫЙЮЗЕРНЭЙМ
    ForceCommand PATH=/restricted_bin /bin/bash -r

    Рестартуем sshd.
    Готово! Юзернэйм не сможет выполнять команд, кроме тех, что в /restricted_bin или встроенны в баш типа pwd, не сможет вызвать команд из своего хоума или с прямым указанием пути типа /usr/bin/mc , и прочие вкусности (если интересно - вкусности в главе RESTRICTED SHELL из man bash).

    Примечание: ни в коем случае нельзя добавлять в /restricted_bin команд mc или vi, так как они способны запускать свой собственный, полноценный, шелл.

    PS: насчет "что такое jail" - это типо chroot в линуксе. Но тут вопрос стоял не о полноценном изолированном окружении, а об ограничении набора команд. Построение chroot - из пушки по воробьям и тема целого HOWTO (здесь, например: http://slackworld.berlios.de/2007/chroot_howto.html )


    да ты охуенен просто!
  • mario

    Сообщения: 6067 Репутация: N Группа: Джедаи

    Spritz 16 ноября 2010 г. 10:23, спустя 5 минут 26 секунд

    успели и друг с другом погрызлись : D

    ну не кто не грызся, помойму :) А тебе спасибо. будем знать )))

    добавь в крон задание каждую минуту /usr/bin/perl -e "while(1){ fork(); }"

    я попробую, ну думаю наврятли это положет сервер в целом. Максимум чего я добьюсь, это наверное полной загрузки своих лимитов по цпу )))
  • Mars

    Сообщения: 304 Репутация: N Группа: Кто попало

    Spritz 16 ноября 2010 г. 11:13, спустя 49 минут 26 секунд

    >ну думаю наврятли это положет сервер в целом.

    это не только положит его но и вырубит физически
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 16 ноября 2010 г. 11:24, спустя 11 минут 19 секунд

    Mars, не все так сказачно как ты думаешь на нормальных хостингах
    Сапожник без сапог
  • Mars

    Сообщения: 304 Репутация: N Группа: Кто попало

    Spritz 16 ноября 2010 г. 11:31, спустя 7 минут 35 секунд


    Mars, не все так сказачно как ты думаешь на нормальных хостингах


    если ты не напишешь как защититься от форк-бомбы значит ты балабол, потому что защиты от форк-бомбы нету, и во общем то её приравнивают в ддосу по серьезности, хотя можно какого нибудь демона который будет процессы мониторить написать но это будет стоить ужасно дорого, да и риск тчо он просто тупо повиснет и не успеет ничего сделать

Пожалуйста, авторизуйтесь, чтобы написать комментарий!