Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Problem z SFTP i chrootowalnymi katalogami

https://www.debian.pl/viewtopic.php?t=30292

Strona 1 z 1

Problem z SFTP i chrootowalnymi katalogami

: 11 lutego 2014, 15:07
autor: lun
Witam,
Muszę przygotować serwer pod sftp, więc postanowiłem go zabezpieczyć chrootem. Niestety borykam się z problemem który wynika albo z mojego błędu albo niewiedzy i niezrozumienia tematu.

W konfiguracji ssh mam wpisy:

Kod: Zaznacz cały

Subsystem sftp internal-sftp

Match User test
        ChrootDirectory /var/chrooted/test
        ForceCommand internal-sftp
        AllowTcpForwarding no
        X11Forwarding no
Użytkownik wygląda tak:

Kod: Zaznacz cały

test:x:505:505::/home/test:/sbin/nologin
Uprawnienia na chrootowanym folderze wyglądają tak:

Kod: Zaznacz cały

ls-l /var/chrooted/
drwxr-x---. 3 root root 4096 Feb 11 12:58 test
Cała, prowadząca do niego ścieżka, jest własnością roota.

Zgodnie z poradnikiem: https://wiki.archlinux.org/index.php/SFTP-chroot, aby nie pozwolić na eskalację uprawnień, robię montowanie katalogu w którym użytkownik ma prawa zapisu (/home/test) do katalogu chrootowanego (/var/chrooted/test)

Kod: Zaznacz cały

mount --bind /var/chrooted/test/ /home/test/
I do tej pory wszystko zgadza się z wszelkimi poradnikami jakie znalazłem na sieci.
Mój problem pojawia się w momencie w którym próbuje cokolwiek zrobić na zasobie do którego się podłączam.

Kod: Zaznacz cały

 
ls -ld /var/chrooted/test/
drwxr-x---. 3 root root 4096 Feb 11 12:58 /var/chrooted/test/

ls -l /var/chrooted/test/total 4
drwxrwxrwx. 2 test test 4096 Feb 11 12:58 folder1

Kod: Zaznacz cały

sftp  test@ip
test@ip's password:
sftp> ls
Couldn't get handle: Permission denied
sftp> cd folder1
Couldn't canonicalise: Permission denied
Problemem są uprawnienia na folderze, ale właśnie tego nie potrafię rozgryźć.

: 11 lutego 2014, 21:27
autor: Yampress
a gdy wrócisz mu powłokę?

: 11 lutego 2014, 23:17
autor: lun
Mówiąc szczerze nie sądzę żeby to pomogło mnie na coś naprowadzić, ale zrobię to jutro w pracy.
Ze wszystkich przeczytanych materiałów wynika, że wewnątrz tego chrootowanego folderu można tworzyć podfoldery z odpowiednimi uprawnieniami, ale nie rozumiem jak wtedy można uniknąć eskalacji uprawnień.
Cały proces SFTP i chroota jest dla mnie jasny, tylko nie rozumiem uprawnień na tych montowanych katalogach :(

: 13 lutego 2014, 22:26
autor: lun
Trochę mi to zajęło, ale temat rozgryzłem. W sumie problem był banalny (jak każdy który uda się w końcu rozwiącać ;) ).
Brakowało jednego uprawnienia, a mianowicie

Kod: Zaznacz cały

chmod o+x /var/chrooted/
Bez tego nie można wylistować katalogu ani do niego wskoczyć.

Można zamknąć, może kiedyś się komuś przyda.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl