On Sun, 28 Feb 2010 20:09:31 +0100, Tomasz Chiliński tomasz.chilinski@chilan.com wrote:
On Sun, 28 Feb 2010 13:02:24 +0100, Maciej Drobniuch
wrote:
Naturalnie z tego powodu ze automatycznie musial by byc dostep do
shella.
Jezeli jest dostep do shella bardzo latwo bawic sie w rootkity, i to
jest
ryzyko. Ja na swoim hostingu mam jednak sftp dla mniejszej rzeszy klientów. Mam grsecurity z paxem i PAM-em. Patent polega na tym ze userow trzymam w bazie po libnssmysql - bo pam
i
userzy to nie jest zly pomysl, przydaje sie tylko do pam_wheel. Nie widze problemu dostosowac to do lms-a
Możesz użyć scponly i problemu z dostępem do powłoki pozbywasz się.
nie ma mowy o dawaniu powłoki przy sftp.
w sshd_config dajesz
Subsystem sftp internal-sftp
Match group webuser X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp ChrootDirectory /var/www/html/%u
Użytkownik wtedy może się łączyc zdalnie przez sftp ma możliowśc mani[ulacji plikami jak przy ftp i jest uwięziony w swoim katalogu.
Dariusz Kowalczyk