Поиск:

RPM-пакеты openssh-server-jail

Чтобы узнать, для чего нужен этот пакет – смотрите запись в моем блоге.
Краткое руководство по его использованию находится здесь.

Основные отличия данной сборки от официальной версии:

  • Оставлены лишь компоненты сервера и необходимые для него утилиты;

В связи с этим, имя пакета изменено на openssh-server-jail. Клиентская часть пакета нам без надобности; примеры конфигурации, man-ы и документация openssh-5.2 также не включены в пакет.

  • Изменены пути к исполняемым и конфигурационным файлам пакета;

Пакет устанавливается в отдельный каталог и не влияет на компоненты openssh. Вкупе со сменой имени пакета, это позволяет «развести по углам» две версии программы и избежать коллизий с имеющими в системе пакетами на уровне RPM-менеджера. Вы можете одновременно использовать openssh и openssh-server-jail или только один из них, при этом изменение конфигурации или удаление одного из них не окажет влияния на другой.

  • Не требуется вносить изменения в конфигурацию системы;

Основная причина, почему я отказался от использования стандартных механизмов chroot-a в openssh – это необходимость правки пользовательских параметров в /etc/passwd (добавлять последовательность '/./' в путь к домашнему каталогу пользователя; для openssh это служит признаком того, что пользователя нужно «запереть» в каталоге). В дополнение к этому, владельцем домашнего каталога пользователя нужно делать пользователя 'root'. Все эти манипуляции вызывают проблемы с правами, если пользователь будет входить в систему локально; не говоря уж о том, что некоторые программы некорректно воспринимают путь вида '/home/user/./'. В случае же использования патча sshjail, параметры chroot хранятся не в системе, а в отдельном конфигурационном файле (sshjail.conf).

  • Изменен номер tcp-порта службы;

Во избежание конфликтов с потенциально работающим sshd, демон sshd-jail из пакета openssh-server-jail по умолчанию слушает tcp-порт 2200 (номер порта можно изменить в конфигурационном файле).

  • Автоматизация создания chroot-окружения;

Найденный в Сети скрипт для организации пользовательского chroot-окружения был мной подкорректировал в соответствии с нашими нуждами, и включен в пакет (после установки пакета, доступен как /usr/openssh-jail/sbin/makejail).

Ко всему прочему, были еще сделаны некоторые мелкие изменения, в том числе в коде патча sshjail и дефолтных параметрах конфигурационного файла.

Как всегда, скачать пакеты можно здесь.

Обсуждение



 
© 2009–2013 Денис Фатеев (Danger)
Копирование контента без указания автора преследуется сотрудниками ада.
Recent changes RSS feed
Valid XHTML 1.0
Valid CSS