sftp + chroot

Le
n r
Bonjour

Je suis sur debian Sarge, j'essai de faire du sftp chrooté mais en faisant
un test de connexion avec un utilisateur de non "gestion", la connexeion est
fermée

xmach:/# sftp gestion@xmach
Connecting to xmach
Password:
Connection closed

et j'ai dans le syslog

Nov 27 16:25:41 xmach rssh[3642]: setting log facility to LOG_USER
Nov 27 16:25:41 xmach rssh[3642]: allowing sftp to all users
Nov 27 16:25:41 xmach rssh[3642]: setting umask to 022
Nov 27 16:25:41 xmach rssh[3642]: chrooting all users to /home
Nov 27 16:25:41 xmach rssh[3642]: chroot cmd line:
/usr/lib/rssh/rssh_chroot_helper 2 "/usr/lib/sftp-server"
Nov 27 16:25:41 xmach rssh_chroot_helper[3642]: new session for gestion,
UID01
Nov 27 16:25:41 xmach rssh_chroot_helper[3642]: chroot() failed, 2:
Operation not permitted

j'ai copié toutes les librairies dans la cage /home et bien vérifié les
droits, une idée?

xmach:/home# ls -alR
drwxr-xr-x 3 root root 4096 2006-11-27 14:44 lib
drwxr-xr-x 4 root root 4096 2006-11-16 18:21 usr
./lib:
-rwxr-xr-x 1 root root 90248 2006-11-27 14:44 ld-2.3.2.so
-rwxr-xr-x 1 root root 90248 2006-11-27 13:08 ld-linux.so.2
drwxr-xr-x 2 root root 4096 2006-11-27 14:51 tls
./lib/tls:
-rwxr-xr-x 1 root root 1254660 2006-11-27 14:47 libc-2.3.2.so
-rw-r--r-- 1 root root 18876 2006-11-27 14:48 libcrypt-2.3.2.so
-rw-r--r-- 1 root root 18876 2006-11-27 13:04 libcrypt.so.1
-rwxr-xr-x 1 root root 1254660 2006-11-27 13:05 libc.so.6
-rw-r--r-- 1 root root 9872 2006-11-27 14:46 libdl-2.3.2.so
-rw-r--r-- 1 root root 9872 2006-11-27 13:07 libdl.so.2
-rw-r--r-- 1 root root 73304 2006-11-27 14:49 libnsl-2.3.2.so
-rw-r--r-- 1 root root 73304 2006-11-17 13:47 libnsl.so.1
-rw-r--r-- 1 root root 64924 2006-11-27 12:59 libresolv.so.2
-rw-r--r-- 1 root root 7828 2006-11-27 14:51 libutil-2.3.2.so
-rw-r--r-- 1 root root 7828 2006-11-27 14:52 libutil.so.1
./usr:
drwxr-xr-x 2 root root 4096 2006-11-16 18:18 bin
drwxr-xr-x 4 root root 4096 2006-11-27 14:50 lib
./usr/bin:
-rwxr-xr-x 1 root root 20048 2006-11-16 18:18 rssh
-rwxr-xr-x 1 root root 33580 2006-11-27 15:39 scp
-rwxr-xr-x 1 root root 61196 2006-11-27 12:00 sftp
./usr/lib:
drwxr-sr-x 3 root staff 4096 2006-11-16 19:24 i686
-rw-r--r-- 1 root staff 67468 2006-11-16 18:50 libz.so.1
-rw-r--r-- 1 root root 67468 2006-11-27 14:50 libz.so.1.2.2
drwxr-xr-x 2 root root 4096 2006-11-27 11:34 rssh
-rwxr-xr-x 1 root root 27992 2006-11-27 12:02 sftp-server
./usr/lib/i686/cmov:
-rw-r--r-- 1 root staff 1029704 2006-11-16 18:50 libcrypto.so.0.9.7
./usr/lib/rssh:
-rwsr-xr-x 1 root root 19564 2006-11-27 12:03 rssh_chroot_helper

_________________________________________________________________
MSN Messenger: appels gratuits de PC à PC !
http://www.msn.fr/newhotmail/Default.asp?Ath=f


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vos réponses
Trier par : date / pertinence
Florent Bayle
Le #9470511
--nextPart2622270.AIGQ2T9nHr
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le mardi 28 novembre 2006 09:45, n r a écrit :
Bonjour

Je suis sur debian Sarge, j'essai de faire du sftp chrooté


[...]

Bonjour,

Quand je dois mettre en place du sftp chrooté, j'utilise deux méthodes :
- le patch http://www.sarcelle.net/openssh.patch qui permet de mettre en p lace
du sftp chrooté en patchant openssh, sans avoir besoin de copier les libs , etc.
Inconvénient : ça nécessite de patcher openssh, et éventuellement d e recompiler
les paquets. Il faut suivre les mises à jour de openssh en repatchant à chaque
fois, au risque de voir son chroot désactivé par la mise à jour suiva nte.
Il faut donner le bit setuid à sftp.

- MSS (My Secure Shell) : http://mysecureshell.sourceforge.net/ qui permet de
mettre en place du sftp avec du vchroot, et des fonctions très avancées . Assez
facile à mettre en place et configurer.
Inconvénient : il n'y a pas de paquets officiels pour l'instant, il faut donc
se débrouiller pour l'installer, et le maintenir à jour.


Sinon, pour répondre à la question, il semble que le problème soit sur
Nov 27 16:25:41 xmach rssh_chroot_helper[3642]: chroot() failed, 2:
Operation not permitted



Il y a donc un programme qui essaye d'utiliser l'appel système chroot (), alors
qu'il n'en a pas les droits. Il doit donc falloir donner le bit setuid à l'un
des programmes.

--
Florent

--nextPart2622270.AIGQ2T9nHr
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)

iD8DBQBFbGr9M+Ix3/RCm3gRArC0AJ4lWs09LxuN/P6HqTqqVw5Nyn4JewCfY6me
SlF75ndGqmNize1zKsV2cyE =kcJ1
-----END PGP SIGNATURE-----

--nextPart2622270.AIGQ2T9nHr--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme