Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2298 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  ssh et environnement chrooté

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

ssh et environnement chrooté

n°1061622
korny
Posté le 21-07-2008 à 11:59:02  profilanswer
 

Bonjour
 
J'ai installé un environnement chrooté pour un utilisateur sur mon systeme (censé faire du scp par la suite).
Depuis le client, je peux me connecter en utilisant winscp : ca marche impec. Le probleme, c'est que je voudrais utiliser pscp, mais ca ne passe pas  ..
 
pour le chrootage,  
j'ai utilisé la maniere suivante :  
 

Code :
  1. toto:x:514:512::/home/toto:/bin/chrootshell


 
et
 

Code :
  1. cat /bin/chrootshell
  2. #!/bin/bash
  3. exec -c /usr/sbin/chroot /home/$USER /bin/bash


 
 
 
Dans mon repertoire /home/toto j'ai posé ce qui me semble necessaire , et surtout ce que les tutoriaux conseillent (lib, etc ..)
 
l'authentification , les transferts et remote commandes passent avec le winscp
en pscp, je lance une copie, je met mon mot de passe, puis plus rien.
si je fais ce meme pscp avec un user non chrooté, ca passe
 
Côté serveur, je cherche, j'ai passé en mode debug pour trouver où ca bloque,  
voilà le debug quand le client se connecte en pscp avec un utilisateur non chrooté (en root)
 
 

Code :
  1. Jul 21 11:37:44 spare sshd[2492]: debug1: userauth-request for user root service ssh-connection method password
  2. Jul 21 11:37:44 spare sshd[2492]: debug1: attempt 2 failures 2
  3. Jul 21 11:37:44 spare sshd[2492]: debug1: PAM Password authentication accepted for user "root"
  4. Jul 21 11:37:44 spare sshd[2492]: Accepted password for root from 192.168.1.1 port 37559 ssh2
  5. Jul 21 11:37:44 spare sshd[2492]: debug1: Entering interactive session for SSH2.
  6. Jul 21 11:37:44 spare sshd[2492]: debug1: fd 3 setting O_NONBLOCK
  7. Jul 21 11:37:44 spare sshd[2492]: debug1: fd 5 setting O_NONBLOCK
  8. Jul 21 11:37:44 spare sshd[2492]: debug1: server_init_dispatch_20
  9. Jul 21 11:37:44 spare sshd[2492]: debug1: server_input_channel_open: ctype session rchan 256 win 16384 max 16384
  10. Jul 21 11:37:44 spare sshd[2492]: debug1: input_session_request
  11. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: new [server-session]
  12. Jul 21 11:37:44 spare sshd[2492]: debug1: session_new: init
  13. Jul 21 11:37:44 spare sshd[2492]: debug1: session_new: session 0
  14. Jul 21 11:37:44 spare sshd[2492]: debug1: session_open: channel 0
  15. Jul 21 11:37:44 spare sshd[2492]: debug1: session_open: session 0: link with channel 0
  16. Jul 21 11:37:44 spare sshd[2492]: debug1: server_input_channel_open: confirm session
  17. Jul 21 11:37:44 spare sshd[2492]: debug1: server_input_channel_req: channel 0 request exec reply 1
  18. Jul 21 11:37:44 spare sshd[2492]: debug1: session_by_channel: session 0 channel 0
  19. Jul 21 11:37:44 spare sshd[2492]: debug1: session_input_channel_req: session 0 req exec
  20. Jul 21 11:37:44 spare sshd[2492]: debug1: PAM establishing creds
  21. Jul 21 11:37:44 spare sshd[2492]: debug1: fd 7 setting O_NONBLOCK
  22. Jul 21 11:37:44 spare sshd[2520]: debug1: PAM establishing creds
  23. Jul 21 11:37:44 spare sshd[2492]: debug1: fd 9 setting O_NONBLOCK
  24. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: rcvd eof
  25. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: output open -> drain
  26. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: obuf empty
  27. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: close_write
  28. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: output drain -> closed
  29. Jul 21 11:37:44 spare sshd[2492]: debug1: Received SIGCHLD.
  30. Jul 21 11:37:44 spare sshd[2492]: debug1: session_by_pid: pid 2520
  31. Jul 21 11:37:44 spare sshd[2492]: debug1: session_exit_message: session 0 channel 0 pid 2520
  32. Jul 21 11:37:44 spare sshd[2492]: debug1: channel request 0: exit-status
  33. Jul 21 11:37:44 spare sshd[2492]: debug1: session_exit_message: release channel 0
  34. Jul 21 11:37:44 spare sshd[2492]: debug1: session_close: session 0 pid 2520
  35. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: read<=0 rfd 7 len 0
  36. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: read failed
  37. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: close_read
  38. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: input open -> drain
  39. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: ibuf empty
  40. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: send eof
  41. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: input drain -> closed
  42. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: send close
  43. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: rcvd close
  44. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: is dead
  45. Jul 21 11:37:44 spare sshd[2492]: debug1: channel 0: garbage collecting


 
 
 
et en me connectant avec mon utilisateur chrooté  
 

Code :
  1. Jul 21 11:36:21 spare sshd[2230]: debug1: userauth-request for user toto service ssh-connection method password
  2. Jul 21 11:36:21 spare sshd[2230]: debug1: attempt 2 failures 2
  3. Jul 21 11:36:21 spare sshd[2230]: debug1: PAM Password authentication accepted for user "toto"
  4. Jul 21 11:36:21 spare sshd[2230]: Accepted password for toto from 192.168.1.1 port 36313 ssh2
  5. Jul 21 11:36:21 spare sshd[2230]: debug1: Entering interactive session for SSH2.
  6. Jul 21 11:36:21 spare sshd[2230]: debug1: fd 3 setting O_NONBLOCK
  7. Jul 21 11:36:21 spare sshd[2230]: debug1: fd 5 setting O_NONBLOCK
  8. Jul 21 11:36:21 spare sshd[2230]: debug1: server_init_dispatch_20
  9. Jul 21 11:36:21 spare sshd[2230]: debug1: server_input_channel_open: ctype session rchan 256 win 16384 max 16384
  10. Jul 21 11:36:21 spare sshd[2230]: debug1: input_session_request
  11. Jul 21 11:36:21 spare sshd[2230]: debug1: channel 0: new [server-session]
  12. Jul 21 11:36:21 spare sshd[2230]: debug1: session_new: init
  13. Jul 21 11:36:21 spare sshd[2230]: debug1: session_new: session 0
  14. Jul 21 11:36:21 spare sshd[2230]: debug1: session_open: channel 0
  15. Jul 21 11:36:21 spare sshd[2230]: debug1: session_open: session 0: link with channel 0
  16. Jul 21 11:36:21 spare sshd[2230]: debug1: server_input_channel_open: confirm session
  17. Jul 21 11:36:21 spare sshd[2230]: debug1: server_input_channel_req: channel 0 request exec reply 1
  18. Jul 21 11:36:21 spare sshd[2230]: debug1: session_by_channel: session 0 channel 0
  19. Jul 21 11:36:21 spare sshd[2230]: debug1: session_input_channel_req: session 0 req exec
  20. Jul 21 11:36:21 spare sshd[2230]: debug1: PAM establishing creds
  21. Jul 21 11:36:21 spare sshd[2230]: debug1: fd 7 setting O_NONBLOCK
  22. Jul 21 11:36:21 spare sshd[2233]: debug1: PAM establishing creds
  23. Jul 21 11:36:21 spare sshd[2230]: debug1: fd 9 setting O_NONBLOCK


 
Voilà, ca va pas jusqu'au bout .. Et côté client, pscp.exe ne rend plus la main apres saisie du password
 
quelqu'un arriverait il a décrypter ces 2 débug et me dire pourquoi le 2eme (celui de mon utilisateur chrooté) bloque ? je seche !
 
une librairie manquante ..etc .. je vois pas  
 
merci d'avance !
 
 
 
 
 
 
 
 
 
 
 
 
 
 

mood
Publicité
Posté le 21-07-2008 à 11:59:02  profilanswer
 

n°1061625
franceso
Posté le 21-07-2008 à 12:12:02  profilanswer
 

Je n'ai pas trop le temps de me pencher sur tes logs pour diagnostiquer le problème. Juste une petite remarque : faire tes tests avec root, c'est pas très malin : non seulement root ne devrait pas avoir accès au SSH, mais surtout tu n'es pas en train de comparer des utilisateurs équivalents. Peut-être que qu'avec un utilisateur "normal" non chrooté, ton pscp ne passe déjà pas !
 
Sinon,  j'ai mis en place une config similaire chez moi, qui marche très bien. Plutôt que d'utiliser un script perso pour effectuer le chroot, je passe par rssh, qui est un outil spécialisé pour ce genre de chose. Peut-être que tu auras plus de succès en l'utilisant...
 
 


---------------
TriScale innov
n°1061627
Le_Tolier
Hello IT ?
Posté le 21-07-2008 à 12:15:06  profilanswer
 

+1 pour rssh


---------------
Never f**k with your systems administrator. Why? Because they know what you do with all that free time! |?? | SAVE Jericho !
n°1061634
mikala
Souviens toi du 5 Novembre...
Posté le 21-07-2008 à 13:23:10  profilanswer
 

il me semblait que openssh offrait maintenant un support 'natif' du chroot...

Message cité 1 fois

---------------
Intermittent du GNU
n°1061635
Le_Tolier
Hello IT ?
Posté le 21-07-2008 à 13:28:34  profilanswer
 

il me semble aussi, a noter que rssh n'est pas vraiment un chroot juste un shell restreint il me semble

Message cité 1 fois

---------------
Never f**k with your systems administrator. Why? Because they know what you do with all that free time! |?? | SAVE Jericho !
n°1061636
franceso
Posté le 21-07-2008 à 13:44:11  profilanswer
 

mikala a écrit :

il me semblait que openssh offrait maintenant un support 'natif' du chroot...

C'est intéressant. Merci pour l'info :jap:
 

Le_Tolier a écrit :

il me semble aussi, a noter que rssh n'est pas vraiment un chroot juste un shell restreint il me semble

Oui, rssh n'est qu'un shell restreint qui permet de limiter les commandes (autoriser uniquement SCP et/ou SFTP) et de chrooter l'utilisateur.
 


---------------
TriScale innov
n°1061637
korny
Posté le 21-07-2008 à 13:57:39  profilanswer
 

merci pour vos réponses :)
 
je confirme que openssh offre maintenant le chrootage nativement
ca aurait largement pu m'aider je pense, mais je suis bloqué par l'age de ma distrib (redhat 7.3) que je ne peux malheureusement pas upgrader pour l'instant. Du coup je ne peux pas installer de release plus récentes de openssh
si mes souvenirs sont bon, c'est la depuis une release de avril qu'openssh offre le chrootage
 
 
 
j'avais commencé par rssh, mais j'avais échoué, ca ne passait pas .. Si du coup j'y arrive pas comme ca, j'essaierai de replancher dessus
 
 
Je viens de ré essayer avec un user normal, identique a celui qui est chrooté (hormis le chrootage :D) => Les resultats sont les mêmes que ceux que j'ai posté dans mon premier post
 
 
ce qui m'embête, c'est qu'il ne doit pas y'avoir grand chose , puisque avec ce user chrooté, j'arrive à faire passer winscp  :fou:


Message édité par korny le 21-07-2008 à 13:58:44
n°1061679
korny
Posté le 21-07-2008 à 16:44:13  profilanswer
 

bon, j'ai configuré rssh en attendant :
- sftp passe impec
- scp passe aussi sans probleme
- chrootage ok.
 
 
Par contre, chose à laquelle je m'attendais pas : je dois passer des remotes commandes apres avoir utilisé un scp. Et rssh n'authorise que le sftp, le scp .. mais pas le remote "ssh".  
donc je crois bien qu'avec rssh si je veux transferer + faire des remotes commandes, sftp obligé, et pas de scp/remote ssh.
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  ssh et environnement chrooté

 

Sujets relatifs
RPM multi environnementQuel environnement Linux avec 256 Mo RAM
Environnement gnomesystème chrooté non independant niveau config noyau !
bash/csh : propagation de variables d'environnementInstallation d'un environnement FAMP foireuse (FreeBSD+Apache+SQL+PHP)
[mandriva] problèmes fenêtres + serveur[mandriva] creer des icones,environnement
grob probleme pour reinstaller un kernel-image sur un debian chrootéXTerm et Variables d'environnement
Plus de sujets relatifs à : ssh et environnement chrooté

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.073 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)