On Sun, 28 Feb 2010 20:09:31 +0100, Tomasz Chiliński <tomasz.chilinski@chilan.com> wrote:
On Sun, 28 Feb 2010 13:02:24 +0100, Maciej Drobniuch <maciej@drobniuch.pl> wrote:
Naturalnie z tego powodu ze automatycznie musial by byc dostep do shella. Jezeli jest dostep do shella bardzo latwo bawic sie w rootkity, i to jest ryzyko. Ja na swoim hostingu mam jednak sftp dla mniejszej rzeszy klientów. Mam grsecurity z paxem i PAM-em. Patent polega na tym ze userow trzymam w bazie po libnssmysql - bo pam i userzy to nie jest zly pomysl, przydaje sie tylko do pam_wheel. Nie widze problemu dostosowac to do lms-a
Możesz użyć scponly i problemu z dostępem do powłoki pozbywasz się.
nie ma mowy o dawaniu powłoki przy sftp. w sshd_config dajesz Subsystem sftp internal-sftp Match group webuser X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp ChrootDirectory /var/www/html/%u Użytkownik wtedy może się łączyc zdalnie przez sftp ma możliowśc mani[ulacji plikami jak przy ftp i jest uwięziony w swoim katalogu. Dariusz Kowalczyk