[linux-users:93101] Re: sftpdのcd(change dir)を制限する

[Takashi Matsuo <t-matsuo _at_ xxxxxxxxxxxxx>]

松尾です。

#あらほんとうですね

openssh-3.2.2p1にはchroot.diffがありませんでした。
というだけではつまらんので、C言語は全然分からないながら直したら
ユーザのホームディレクトリにchrootして
(私の環境では)動くようになりました。ちなみにredhat7.2を使ってます。

パッチは、恥ずかしくて見せたくないけど付けます。
だめだめなのは分かっているので、激しくつっこんでくださいませ。

ただ、動くというだけでセキュリティとかポータビリティとか
コードの意味とか(おい
全然考慮してませんので、そのまま実務では使わないでください。
詳しい人にパッチを添削してもらってから使ってください。
#そして、成果物を見せて欲しい。>元記事のかたへ

手順
openssh-3.0p1とかに入っているcontrib/chroot.diffをみて、
openssh-3.2.2p1などのsession.cを修正する。

chrootさせたいユーザのパスワードエントリのhome dirを
/./home/hoge
とかに変更

/home/hogeに
lib
usr
bin
などをつくり、ユーザのログインシェルと、sftp-server、必要な
共有ライブラリをコピーする

だいたいこれくらいで、元記事の方のおっしゃるような
chrooted sftpが動いています。

やってみて思ったこと

openssh-3.2.2p1には
--with-privsep-user とか
--with-privsep-path の
configure optionがあって、root権限ではlistenとforkだけにできる
みたいなので、そうするとchroot(2)できない?

個人的には、企業向けのホスティング会社がいまだにftpを使っている
のが信じられないのです。そろそろopensshをそういう用途に使っても
良いんじゃないかと思っています。

ただそれには、ユーザごとにchrootするような仕組みがないと厳しそう
だし、いつまでもsshdがroot権限で動き続けるのもアレだし。

雑文しつれいしました。

On Tue, 21 May 2002 11:12:48 +0900
R.Takashi ISHIOKA wrote:

> まえに あるのをみつけて この ML にも *ある* とだけ書いた気がするんで
> すが いまの openssh のそーすからはなくなっているかもしれません
> 
> OpenSSH 3.1p1 の contrib/README に.
> 
> | chroot.diff: 
> |
> | Due to the fact the patch is never in sync with the rest of the
> | tree.  It was removed. 
> 
> まねして 自分で直せば使えると思いますけど...

-- 
Takashi MATSUO
t-matsuo _at_ tkh.att.ne.jp
GnuPG: 7BDA 16C1 DCCE CCC7 DE21  E4BD 37AC 43CA 9BCA 4000

Attachment: chroot.diff
Description: Binary data