Dotaz: chroot - login

Ahoj,
Možností je celá řada a záleží na tom, co přesně potřebuješ. Pokud potřebuješ omezit uživatele aby ti nelozil po celém disku, musíš zajistit chroot pro shel kvůli přihlašování a scp, dále pokud používáš ftpko tak chrootovat v ftpku případně ještě jinde. Dále pokud chrootuješ uživatele, tak mu musíš vztvořit v jeho ~ /bin /lib a zkopírovat mu všechny potřebné knihovny a binárky, jinak nebude moct nic spouštět.

Chroot ftpka je tak asi nejjednodušší, provádí se v konfiguraci ftp serveru. Pokud používáš wu-ftpd tak v souboru /etc/ftpaccess nastavíš volby (například všichni uživatelé krome uživatele uzivatel a skupiny skupina budou chrootováni - je nutno jim dát do jejich /bin alespoň statické ls):

guestuser *
guestgroup *
realuser uzivatel, uzivatel2, ...
realgroup skupina, skupina2, ...

V případě bftpd volbout DO_CHROOT="yes" v /etc/bftpd.conf souboru. V případě vsftpd přidáš uživatele do souboru /etc/vsftpd.chroot_list nebo nastavíš volbu "chroot_local_user=YES" v souboru /etc/vsftpd.conf a potom se budou chrootovat všichni uživatelé kromě uživatelů v listu.

Pokud chceš uživatele po přihlášení chrootovat (jail) tak mu musíš dát místo jeho shelu nějaký restricted, typicky rsh, nebo použít různé edterní utilitky.
Doporučuji ti nastudovat:

• thready v konferenci security@underground.cz: chroot-login-HOWTO
• uživatel bez práv, chroot jail, chrooted-ssh-cvs, chrooted enviroment atd.

Jinak Třeba pro openssh existuje patch, který též realizuje chroot prostředí, nebo třeba v daemontools od D. J. B. existují utilitky pro nastavení prostředí a uživatele pro běžící proces... Můžeš pokud se ti chce experimentovat dle libosti, zkoušet jak případně omezení obejít, jak se dostat ven, jak tomu zabránit, atd.
-djz