abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 11:22 | Komunita

Mozilla.cz informuje, že na blogu Mozilly věnovaném bezpečnosti byly zveřejněny výsledky bezpečnostního auditu služby Firefox Accounts, v českých překladech účet Firefoxu, sloužící hlavně k přihlašování k synchronizaci Firefox Sync. Nalezeno bylo celkem 15 bezpečnostních chyb, z toho jedna byla označena jako kritická a tři jako vážné.

Ladislav Hagara | Komentářů: 0
dnes 11:00 | Nová verze

Byla vydána první stabilní verze 1.0 svobodného komunikačního softwaru Ring (Wikipedie). Ring, původně SFLphone, je součástí projektu GNU [reddit].

Ladislav Hagara | Komentářů: 2
dnes 06:00 | Zajímavý projekt

Warner Skoch na svých stránkách zveřejnil návod (YouTube) na zhotovení kapesní herní konzole MintyPi. Konzole MintyPi je postavena na Raspberry Pi Zero W a RetroPie. Jako obal slouží plechová krabička od mentolek.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Nová verze

Byl vydán Debian 9.1, tj. první opravná verze Debianu 9 s kódovým názvem Stretch a Debian 8.9, tj. devátá opravná verze Debianu 8 s kódovým názvem Jessie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 9 a Debianu 8 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 17
22.7. 15:50 | Zajímavý článek

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice zveřejnila čtyřiačtyřicetistránkovou výroční zprávu za rok 2016. K dispozici je ve formátu pdf ve vysokém (21,68 MB) a nízkém (7,1 MB) rozlišení. Zpráva byla vytvořena ve Scribusu.

Ladislav Hagara | Komentářů: 0
22.7. 14:40 | Zajímavý software

Mozilla.cz informuje, že Firefox Focus pro Android, velmi jednoduchý prohlížeč zaměřený na anonymní prohlížení, dosáhl milionu stažení. Firefox Focus blokuje sledující prvky a reklamy a při ukončení automaticky smaže všechna uložená data stránek, historii prohlížení a cookies.

Ladislav Hagara | Komentářů: 39
22.7. 14:20 | Komunita

Vyplněním dotazníku na Formuláře Google lze ovlivnit výběr výchozích aplikací v Ubuntu 18.04 LTS. Podrobnosti v příspěvku Dustina Kirklanda na Ubuntu Insights [reddit].

Ladislav Hagara | Komentářů: 7
21.7. 11:30 | Komunita

Etherpad (Wikipedie), svobodný online webový textový editor umožnující spolupráci v reálném čase, se stal oficiálním projektem organizace Software Freedom Conservancy (Wikipedie). Vývojáři Etherpadu se tak mohou stejně jako vývojáři dalších projektů soustředit pouze na vývoj softwaru a vše kolem zařídí Software Freedom Conservancy. Spuštěna byla instance Etherpadu pad.sfconservancy.org.

Ladislav Hagara | Komentářů: 3
21.7. 10:40 | Zajímavý článek

Lukáš Růžička se v článku Workrave ve Fedoře aneb jak si nevytunelovat karpál na MojeFedora.cz věnuje aplikaci Workrave (Wikipedie) na sledování času stráveného na počítači, která může pomoci vyhnout se negativním účinkům práce s počítačem (RSI, CTS), nebo je alespoň výrazně zmírnit.

Ladislav Hagara | Komentářů: 1
21.7. 10:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Shadow Warrior: Special Edition běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 2
Těžíte nějakou kryptoměnu?
 (5%)
 (3%)
 (20%)
 (72%)
Celkem 64 hlasů
 Komentářů: 2, poslední dnes 03:34
    Rozcestník

    Dotaz: SFTP chroot do domovskeho adresare

    31.8.2012 12:21 tuxmartin | skóre: 38 | blog: tuxmartin | Jicin
    SFTP chroot do domovskeho adresare
    Přečteno: 296×
    Ahoj,

    snazim se vyresit chroot uzivatelu. Uzivatele musi mit pristup pouze na SFTP. Vychazel jsem z navodu Jak nahradit FTP pomocí SFTP a zamknout uživatele, ale tam uzivatel nemuze zapisovat do sveho home adresare. Musi se mu udelat napr. /home/uzivatel/zapisovatelny. To se mi nelibi:-/

    Rad bych, aby uzivatele v /home nevideli ostatni uzivatele - pouze prava X bez R. Jenze kdyz udelam chroot /home tak pak uzivatel nemuze cd /home/pokus

    Tak jsem to poresil pomoci mount bind:
    root@tux:~# tail /etc/ssh/sshd_config 
    Compression yes
    Subsystem   sftp    internal-sftp
    
    Match group sftponly
        ChrootDirectory     /var/ssh-chroot
        ForceCommand        internal-sftp
        X11Forwarding       no
        AllowTcpForwarding  no
    
    root@tux:~# cat /etc/passwd | grep pokus
    pokus:x:1003:1003:Pokus SFTP,,,:/home/pokus:/bin/false
    
    root@tux:~# cat /etc/fstab | grep ssh
    /home	/var/ssh-chroot/home	bind	bind	0	0
    
    root@tux:~# cat /etc/group | grep sftponly
    sftponly:x:1004:pokus
    
    root@tux:~# ls -lh /var/ssh-chroot/
    celkem 4,0K
    drwxr-x--x 6 root root 4,0K srp 29 22:39 home
    
    root@tux:~# ls -lh /var/ssh-chroot/home/
    celkem 16K
    drwx------ 23 martin  martin  4,0K srp 27 15:50 martin
    drwx------  3 pokus   pokus   4,0K srp 31 11:57 pokus
    
    Kdyz se uzivatel pripoji ve Windows pres WinSCP, tak ho to hodi do jeho /home/pokus, kdyz ale prejde o uroven vys, tak mu to logicky hodi chybu (nema R pro /home) a nemuze se dostat zpet do sveho home.

    V ubuntu se pri pripojeni automaticky zobrazuje adresar / - takze to taky nejde.

    Jedine co by slo je dat /home prava 755 (+R), to si ale nechavam jako posledni nouzovou moznost - nechci aby uzivatel videl seznam vsech uzivatelu.

    Jak to resite?

    Odpovědi

    31.8.2012 12:40 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: SFTP chroot do domovskeho adresare

    Chroot môžeš urobiť aj priamo do domovských adresárov. Myslím, že je na to zástupný znak, ktorý to umožni.Podľa dokumentácie je to %h

    Možnosti ako zamädziť login užívateľa je viac. Môžeš použiť pam moduly, libpam-chroot. Pri libpam-chroot je nutné vypnúť PrivilegeSeparation. Ďalej je možné nahodiť balíček scponly. V dokumentácii k ssh je pisané ak chceš použiť chroot, tak tam musíš mať povolené zariadenia a spúštanie.

    V /etc/fstab máš urobení bind na home adresáre. Ak by si chcel oddeliť užívateľov, tak by si musel definovať pre každého užívateľa. nehovorím, že nie je to možné ošetriť, ale vyžadovalo by to bežiaci skript s právami roota, alebo cez sudo.

    Podľa mňa by bola lepšia verzia uzavrieť celý ssh a sftp do chrootu a potom nejakým skriptom prenášať data do home adresárov. Inými slovami by bol daný server odizolovaní od zvyšku systému.

    Na zvýšenie bezpečnosti je samozrejme nutné zabezpečiť základ systému.

    sec.linuxpseudosec.sk
    31.8.2012 21:59 vasek
    Rozbalit Rozbalit vše Re: SFTP chroot do domovskeho adresare
    SFTP chroot se z principu nedělá na domovských adresářích (kvůli možné eskalaci oprávnění). Také je potřeba, aby uživatel v SFTP chrootu neměl jiný přístup do systému (např. je hloupost omezovat uživatele z internetu a v domácí síti mu povolit standardní ssh login - také možná eskalace oprávnění). Já bych to vyřešil tak, že by měl každý uživatel "vlastní home adresář". A to v tomto smyslu: v /etc/passwd definován třeba jako /home/pokusny, ve skutečnosti by ale jeho adresář byl /home/pokusny/home/pokusny. Do té první části by se chrootoval (adresář by patřil uživateli root), díky jeho domovskému adresáři by se automaticky zalogoval do /home/pokusny uvnitř chrootu /home/pokusny tj. reálně /home/pokusny/home/pokusny.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.