[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Debian][FreeBSD] Minimale chroot-Umgebung fuer sshd erzeugen
[Thread Prev] | [Thread Next]
- Subject: Re: [Debian][FreeBSD] Minimale chroot-Umgebung fuer sshd erzeugen
- From: Philipp Schafft <lion@xxxxxxxxxxxxxxx>
- Date: Sat, 18 Jan 2014 14:42:25 +0100
- To: uugrn@xxxxxxxxxxxxxxx
reflum, On Fri, 2014-01-17 at 14:50 +0100, Raphael Eiselstein wrote: > Hallo zusammen, > > gibt es einen systematischen Weg, um aus einer normalen > Debian-Installation nur exakt und genau die Dateien rauszukopieren, die > fuer den Betrieb von sshd mit sftp-internal erforerlich ist? Das > bedeutet, dass die Accounts allesamt keine Shell - etwa /bin/bash - > benoetigen. Ich ging nun naiv einfach mal davon aus dass das '-internal' suggeriren soll das es sich um ein feature handelt das im sshd intigriert ist und somit kein exec() benoetigt. Solange du kein exec() machst benoetigst du auch nichts in deiner ziehl umgebung. Es ist darauf hin zu weissen das du hier ja von sftp redest. scp arbeitet anders und muss hier ganz grundsetzlich getrennt gesehen werden. > Idealerweise gibt es hier ein fertiges Tool, dem ich nur sage "mach, > dass /usr/sbin/sshd im chroot funktioniert und erzeuge mir einen > Tarball, der nur die unbedingt erforderlichen dateien enthaelt". warum sollte der laufende sshd nicht in einer leeren umgebung funktionieren? > Man kann sich auch mit ldd und strace durchhangeln um an alle Dateien zu > kommen, die bei sshd in irgendeiner Form benoetigt werden. Nicht umbedingt an was ich dachte. Zum einen weil es meines erachtens unnoetig ist, zum anderen weil, sollte man wirklich eine minimale umgebung erschaffen wollen, ich ehr dazu genigt waehre auf ne busybox oder so zu setzen. Es sei auch darauf hin zu weissen das in einer umgebung in der mehr als ein prizess benoetigt wird offt eh eine shell noetig ist. Dies halte ich auch nicht fuer gefaerlich wenn man eine hinreichend kontrolierte umgebung hat. > Das gleiche benoetige ich auch fuer FreeBSD, die vorgehensweise duerfte > hier sehr aehnlich sein. Ich gehe einfach mal davon aus das sshd auf beiden system hinreichend gleich sein wird. -- Philipp. (Rah of PH2) -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/