Am Dienstag, den 12.07.2005, 13:43 +0200 schrieb Saskia Whigham: > macht es Sinn ssh in einer chroot Umgebung laufen zulassen wenn man über > z.B. Fernwartung diesen Server wo sich der ssh Prozess drauf befindet > administrieren will.
IMHO nein. Denn für die Administration, müsstest du ja wahrscheinlich aus der CHROOT-Umgebung ausbrechen. > Die Administration soll im vollem Umfang ablaufen das > heisst man brauch auch Zugriff auf /etc usw. . Ist in diesem Fall eine > chroot überhaupt möglich. Also ich habe das in den einzeln. Dokus so > verstanden das wenn man einen User hat und der nicht als super User > fungieren soll diesem User eine chroot ssh zur Verfügung stellt um per scp > einige Dateien zu verschieben. Man kann mittels rssh-Shell (gleichnamiges Paket) die Zugriffsmöglichkeiten beschränken (auf scp,sftp,cvs,..) und Nutzer auch in eine CHROOT-Umgebung sperren. Falls ein User auch nur Zugriff auf das SFTP-Subsystem bekommen soll, kannst du auch in ~user/.ssh/authorized_keys dem Schlüssel ein: command="/usr/lib/sftp-server" voranstellen. Er kann dann nur SFTP. > Für den Admin gebrauch fürs ganze system wäre > dann ja wohl eine chroot Umgebung nicht so sinnvoll oder? Ist IMHO in den meisten Fällen nicht sinnvoll. > Ich habe schon > viel über SSH absicherung gelesen. Vielleicht habt ihr ja noch eine > Möglichkeit um ein sichers ssh zu ermöglichen. Root-Login und Kennwort-basierte Authentifizierung verbieten bzw. ausschalten. Dafür Authentifizierung über einen öffentlichen Schlüssel einsetzen (mit einem starken Kennwort). Wenn du willst, kannst du noch - security-by-obscurity-technisch - den SSH-Port verlegen. Damit hast du etwas mehr Ruhe vor den Brute-Force-Skripten. MfG Daniel
