SFTP-only ucet
Jan Kasprzak
kas na fi.muni.cz
Středa Únor 2 12:33:12 CET 2011
Ladislav Vaiz wrote:
: > To je to co rikam, ze u SSH se vzdycky na neco zapomene.
: >Tady napriklad to, ze authorized_keys by zrejme musely byt v globalnim
: >korenovem adresari.
:
: Ne, uzivatel muze mit klic normalne v ~/.ssh a chroot muze byt uplne na
: jiny adresar.
Ale v tom prikladu se tomu uzivateli nastavuje ~ = /.
: >A jak mam vedet ze tam nejsou dalsi chyby?
:
: Na zaklade analyzy zdrojaku jako u vseho.
Fakt vtipne :-( Taky muzu mit vlastni kopii ssh-demona s vlastnim
SELinuxovym kontextem a rucne ho omezit tak ze neudela nic jineho nez
mu dovolim. Ale ja mam snahu tohle udelat pokud mozno standardnimi prostredky
s pokud mozno minimem lokalnich zmen, ktere se musi furt udrzovat a kontrolovat.
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list. --Alan Cox
Další informace o konferenci Linux