Предпочтительный способ создать chroot, когда chrooting подмножество пользователей при входе с SSH?
При помощи libpam-chroot возможно к chroot подмножеству пользователей довольно легко на основе имени пользователя, когда пользователь регистрируется с SSH.
Что хороший путь состоит в том, чтобы создать этот chroot и установку libpam-chroot. Одна из моих целей - то, что chrooted пользователи только известны в chroot среде (никакие пароли или независимо от того, что было бы сохранено снаружи chroot). В моей предыдущей установке я должен был вручную обновить пользовательские пароли между /etc/shadow и /var/my_chroot/etc/shadow. Действительно ли это возможно?
Или есть ли совершенно другой способ достигнуть этого вида подсистемы без потребности полностью другого (виртуального) компьютера (у меня нет запасных аппаратных средств для предложения, и у меня есть только 1 сетевой интерфейс)? Или действительно ли виртуализация является корректным ответом, в конце концов?
1 ответ
Удостоверьтесь, что Вы имеете UsePAM yes в /etc/ssh/sshd_config, и настроенный модуль PAM, который читает пользовательскую базу данных из места в chroot. Нет никакого простого способа сделать pam_unix читайте отличающийся passwd и shadow файлы, но можно использовать pam_ldap вместо этого и выполненный сервер LDAP в chroot (или еще лучше, вне chroot, храня его данные где-нибудь под /var).
Что касается того, использовать ли виртуализацию, которая зависит, что Вы ожидаете от chrooting. Это не обеспечивает много безопасности против пользователя с доступом оболочки. Например, локальная корневая дыра предоставляет полный доступ к целой машине; локальные пользователи могут шпионить вполне немного вне chroot путем ввода по абсолютному адресу внутри /proc; сетевые порты, используемые в chroot, не доступны снаружи;...