abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    LightZone 5.0.0
    včera 04:33 | Nová verze

    Open source software pro úpravu digitálních fotografií LightZone (Wikipedie) byl vydán v nové verzi 5.0.0. LightZone je dnes k dispozici pod licencí BSD. Původně se jednalo o proprietární software vyvíjený společností Light Crafts. Ta v prosinci 2012 souhlasila s uvolněním zdrojových kódů jako open source [Wayback Machine].

    Ladislav Hagara | Komentářů: 0
    PuTTY 0.84
    23.5. 17:22 | Nová verze

    Byla vydána verze 0.84 telnet a ssh klienta PuTTY (Wikipedie). Podrobnosti v přehledu nových vlastností a oprav chyb a Change Logu.

    Ladislav Hagara | Komentářů: 2
    Microsoft představil Azure Linux 4.0 a Azure Container Linux
    22.5. 19:44 | IT novinky

    Microsoft představil Azure Linux 4.0 a Azure Container Linux. Na konferenci Open Source Summit North America 2026 organizované konsorciem Linux Foundation a sponzorované také Microsoftem. Azure Linux 4.0 vychází z Fedora Linuxu. Azure Container Linux je založen na projektu Flatcar. Azure Linux (GitHub, Wikipedie) byl původně znám jako CBL-Mariner.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi Official Magazine 165
    22.5. 12:22 | Zajímavý článek

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 165 (pdf).

    Ladislav Hagara | Komentářů: 0
    Proxmox Virtual Environment 9.2
    22.5. 10:55 | Nová verze

    Byla vydána verze 9.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a informačním videu.

    Ladislav Hagara | Komentářů: 7
    Firefox 151 podporuje Web Serial API
    22.5. 09:33 | IT novinky

    Firefox 151 podporuje Web Serial API. Pro komunikaci s různými mikrokontroléry připojenými přes USB nebo sériové porty už není nutné spouštět Chrome nebo na Chromiu postavené webové prohlížeče.

    Ladislav Hagara | Komentářů: 11
    Vivaldi 8.0
    22.5. 04:44 | Nová verze

    Byla vydána nová stabilní verze 8.0 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 148. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    FatGid aneb CVE-2026-45250, lokální eskalace práv ve FreeBSD
    21.5. 21:33 | Bezpečnostní upozornění

    Ve FreeBSD byla nalezena a opravena zranitelnost FatGid aneb CVE-2026-45250. Jedná se o lokální eskalaci práv. Neprivilegovaný uživatel se může stát rootem.

    Ladislav Hagara | Komentářů: 0
    Flipper One
    21.5. 14:33 | IT novinky

    Společnost Flipper Devices oznámila Flipper One. Zcela nový Flipper postavený od nuly. Jedná se o open-source linuxovou platformu založenou na čipu Rockchip RK3576. Hledají se dobrovolníci pro pomoc s dokončením vývoje (ovladače, testování, tvorba modulů).

    Ladislav Hagara | Komentářů: 2
    vkd3d 2.0
    21.5. 14:00 | Nová verze

    Vývojáři Wine oznámili vydání verze 2.0 knihovny vkd3d pro překlad volání Direct3D na Vulkan. Přehled novinek na GitLabu.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (12%)
     (8%)
     (2%)
     (14%)
     (31%)
     (4%)
     (6%)
     (3%)
     (16%)
     (26%)
    Celkem 1704 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / SFTP chroot do domovskeho adresare
    Štítky: adresář, bez, BIND, cat, cd, distribuce, DNS, FTP, grep, chroot, Internet, mount, práva, SFTP, SSH, Ubuntu, Windows

    Dotaz: SFTP chroot do domovskeho adresare

    31.8.2012 12:21 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    SFTP chroot do domovskeho adresare
    Přečteno: 451×
    Ahoj,

    snazim se vyresit chroot uzivatelu. Uzivatele musi mit pristup pouze na SFTP. Vychazel jsem z navodu Jak nahradit FTP pomocí SFTP a zamknout uživatele, ale tam uzivatel nemuze zapisovat do sveho home adresare. Musi se mu udelat napr. /home/uzivatel/zapisovatelny. To se mi nelibi:-/

    Rad bych, aby uzivatele v /home nevideli ostatni uzivatele - pouze prava X bez R. Jenze kdyz udelam chroot /home tak pak uzivatel nemuze cd /home/pokus

    Tak jsem to poresil pomoci mount bind: 
    root@tux:~# tail /etc/ssh/sshd_config 
Compression yes
Subsystem   sftp    internal-sftp

Match group sftponly
    ChrootDirectory     /var/ssh-chroot
    ForceCommand        internal-sftp
    X11Forwarding       no
    AllowTcpForwarding  no

root@tux:~# cat /etc/passwd | grep pokus
pokus:x:1003:1003:Pokus SFTP,,,:/home/pokus:/bin/false

root@tux:~# cat /etc/fstab | grep ssh
/home	/var/ssh-chroot/home	bind	bind	0	0

root@tux:~# cat /etc/group | grep sftponly
sftponly:x:1004:pokus

root@tux:~# ls -lh /var/ssh-chroot/
celkem 4,0K
drwxr-x--x 6 root root 4,0K srp 29 22:39 home

root@tux:~# ls -lh /var/ssh-chroot/home/
celkem 16K
drwx------ 23 martin  martin  4,0K srp 27 15:50 martin
drwx------  3 pokus   pokus   4,0K srp 31 11:57 pokus
    Kdyz se uzivatel pripoji ve Windows pres WinSCP, tak ho to hodi do jeho /home/pokus, kdyz ale prejde o uroven vys, tak mu to logicky hodi chybu (nema R pro /home) a nemuze se dostat zpet do sveho home.

    V ubuntu se pri pripojeni automaticky zobrazuje adresar / - takze to taky nejde.

    Jedine co by slo je dat /home prava 755 (+R), to si ale nechavam jako posledni nouzovou moznost - nechci aby uzivatel videl seznam vsech uzivatelu.

    Jak to resite?
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    31.8.2012 12:40 ewew | skóre: 40 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: SFTP chroot do domovskeho adresare

    Chroot môžeš urobiť aj priamo do domovských adresárov. Myslím, že je na to zástupný znak, ktorý to umožni.Podľa dokumentácie je to %h

    Možnosti ako zamädziť login užívateľa je viac. Môžeš použiť pam moduly, libpam-chroot. Pri libpam-chroot je nutné vypnúť PrivilegeSeparation. Ďalej je možné nahodiť balíček scponly. V dokumentácii k ssh je pisané ak chceš použiť chroot, tak tam musíš mať povolené zariadenia a spúštanie.

    V /etc/fstab máš urobení bind na home adresáre. Ak by si chcel oddeliť užívateľov, tak by si musel definovať pre každého užívateľa. nehovorím, že nie je to možné ošetriť, ale vyžadovalo by to bežiaci skript s právami roota, alebo cez sudo.

    Podľa mňa by bola lepšia verzia uzavrieť celý ssh a sftp do chrootu a potom nejakým skriptom prenášať data do home adresárov. Inými slovami by bol daný server odizolovaní od zvyšku systému.

    Na zvýšenie bezpečnosti je samozrejme nutné zabezpečiť základ systému.

    Root v linuxe : "Root povedal, linux vykona."
    31.8.2012 21:59 vasek
    Rozbalit Rozbalit vše Re: SFTP chroot do domovskeho adresare
    SFTP chroot se z principu nedělá na domovských adresářích (kvůli možné eskalaci oprávnění). Také je potřeba, aby uživatel v SFTP chrootu neměl jiný přístup do systému (např. je hloupost omezovat uživatele z internetu a v domácí síti mu povolit standardní ssh login - také možná eskalace oprávnění). Já bych to vyřešil tak, že by měl každý uživatel "vlastní home adresář". A to v tomto smyslu: v /etc/passwd definován třeba jako /home/pokusny, ve skutečnosti by ale jeho adresář byl /home/pokusny/home/pokusny. Do té první části by se chrootoval (adresář by patřil uživateli root), díky jeho domovskému adresáři by se automaticky zalogoval do /home/pokusny uvnitř chrootu /home/pokusny tj. reálně /home/pokusny/home/pokusny.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.