Re: [Debian][FreeBSD] Minimale chroot-Umgebung für sshd erzeugen

Autor: Philipp Schafft <lion_at_lion.leolix.org>
Datum: Sat, 18 Jan 2014 14:42:25 +0100
reflum,

On Fri, 2014-01-17 at 14:50 +0100, Raphael Eiselstein wrote:
> Hallo zusammen,
> 
> gibt es einen systematischen Weg, um aus einer normalen
> Debian-Installation nur exakt und genau die Dateien rauszukopieren, die
> für den Betrieb von sshd mit sftp-internal erforerlich ist? Das
> bedeutet, dass die Accounts allesamt keine Shell - etwa /bin/bash -
> benötigen.

Ich ging nun naiv einfach mal davon aus dass das '-internal' suggeriren
soll das es sich um ein feature handelt das im sshd intigriert ist und
somit kein exec() benoetigt. Solange du kein exec() machst benoetigst du
auch nichts in deiner ziehl umgebung.

Es ist darauf hin zu weissen das du hier ja von sftp redest. scp
arbeitet anders und muss hier ganz grundsetzlich getrennt gesehen
werden.


> Idealerweise gibt es hier ein fertiges Tool, dem ich nur sage "mach,
> dass /usr/sbin/sshd im chroot funktioniert und erzeuge mir einen
> Tarball, der nur die unbedingt erforderlichen dateien enthält".

warum sollte der laufende sshd nicht in einer leeren umgebung
funktionieren?

> Man kann sich auch mit ldd und strace durchhangeln um an alle Dateien zu
> kommen, die bei sshd in irgendeiner Form benötigt werden.

Nicht umbedingt an was ich dachte. Zum einen weil es meines erachtens
unnoetig ist, zum anderen weil, sollte man wirklich eine minimale
umgebung erschaffen wollen, ich ehr dazu genigt waehre auf ne busybox
oder so zu setzen.

Es sei auch darauf hin zu weissen das in einer umgebung in der mehr als
ein prizess benoetigt wird offt eh eine shell noetig ist. Dies halte ich
auch nicht fuer gefaerlich wenn man eine hinreichend kontrolierte
umgebung hat.


> Das gleiche benötige ich auch für FreeBSD, die vorgehensweise dürfte
> hier sehr ähnlich sein.

Ich gehe einfach mal davon aus das sshd auf beiden system hinreichend
gleich sein wird.


-- 
Philipp.
 (Rah of PH2)


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 18.01.2014

Dieses Archiv wurde generiert von hypermail 2.2.0 : 18.01.2014 CET