JailShell - An das Verzeichnis binden

[Tobi7889]

Moin zusammen,

ich habe KeyHelp Pro und habe eine Frage - ich weiß nicht ob es ein Fehler ist, daher erstmal Offtopic.

Ich habe die Konfiguration aktiviert:

Code: Select all

Eingeschränkte SSH-Umgebung
Schränkt die SSH-Sitzung des Benutzers auf sein Heimatverzeichnis ein. Die SSH-Berechtigung muss aktiviert sein, um diese Funktion nutzen zu können.

Wenn ich mich nun per SSH mit dem betroffenen Benutzer einlogge, kann ich noch aus dem Home Verzeichnis entfliehen und einige Config Dateien in /etc/ ansehen und auch in /var/log/ einige Logs einsehen.

Ich dachte, dass hier die Nutzer fix an ihr Home-Directory gebunden sind oder ist dem nicht so?

[Florian]

Hallo,

ja die Chrooted Shell sperrt den Benutzer in sein Homeverzeichnis ein.

[Tobi7889]

Okay, das heißt hier liegt bei mir ein Fehler vor und ich mache noch einen neuen Thread dazu auf?

Weil aktuell komme ich ja überall hin, trotz aktivierter Eingeschränkten Umgebung.

[Florian]

Hallo,

was heißt "einige Dateien sehen"? Wenn du aus dem Verzeichnis rauskommst solltest du alle Dateien sehen in /etc denn die haben eine 644 Berechtigung standardmäßig

[Tobi7889]

Ich kann mich mit dem eingeschränkten SSH Benutzer aus meinem /home/ Verzeichnis herausbewegen.

Ich kann so zB. in /home/users/ gehen und sehen welche anderen Kunden noch auf dem Server liegen. Er kann zwar nicht tiefer gehen, aber sieht eben diese.

Ich kann auch mit dem Benutzer in /var/log gehen und Log Dateien ansehen zB. den dpkg.log.

Es kann auch sein dass das so richtig ist, bislang kenne ich es anders, da wir CloudLinux mit CageFS genutzt haben, da hat jeder Nutzer wirklich NUR seine Daten gesehen und nichts anderes.

[Alexander]

Wenn "Eingeschränkte SSH-Umgebung" aktiv ist, sollte das nicht mehr gehen.

-> Wie sieht das Verzeichnis des Users aus? /home/users/<NAME>/?
-> Was sagen die Logs (System Staus -> Protokolle -> update.log)? (vom Zeitpunkt nach der Aktivierung der SSH-Umgebung)

[Florian]

So sieht der Verzeichnisbaum eines Chroot Users aus, ein Wechsel nach oben ist nicht möglich

Prüfe dass sich der User in der /etc/group auch in der Gruppe keyhelp_chroot befindet

[Tobi7889]

Home Verzeichnis des Users:

Code: Select all

merkur /home/users/tobi # ll
insgesamt 80
drwxr-xr-x 16 root root     4096  9. Okt 15:39 .
drwxr-xr-x  4 root root     4096  9. Okt 15:30 ..
-rw-------  1 tobi tobi      596  9. Okt 15:58 .bash_history
-rw-r--r--  1 tobi tobi      220 23. Apr 23:23 .bash_logout
-rw-r--r--  1 tobi tobi     3526 23. Apr 23:23 .bashrc
drwxr-xr-x  2 root root     4096  9. Okt 15:39 bin
drwx------  2 tobi tobi     4096  5. Okt 19:31 .cache
drwx------  2 tobi tobi     4096  5. Okt 19:31 .config
drwxr-xr-x  2 root root     4096  9. Okt 15:39 dev
drwxr-xr-x  6 root root     4096  9. Okt 15:39 etc
drwxr-x---  2 tobi www-data 4096  5. Okt 19:31 files
drwxr-xr-x  4 root root     4096  9. Okt 15:39 lib
drwxr-xr-x  2 root root     4096  9. Okt 15:39 lib64
drwx------  2 tobi tobi     4096  5. Okt 19:31 .local
dr-xr-x---  5 tobi www-data 4096  5. Okt 19:34 logs
-rw-r--r--  1 tobi tobi      807 23. Apr 23:23 .profile
drwx------  2 tobi tobi     4096  5. Okt 19:31 .ssh
drwxr-x---  2 tobi www-data 4096  5. Okt 19:31 tmp
drwxr-xr-x  6 root root     4096  9. Okt 15:39 usr
drwxr-x---  2 tobi www-data 4096  5. Okt 19:31 www

Update Log:

Code: Select all

====
[09-Oct-2023 15:39:01] INFO | load tasks... 1 found
[09-Oct-2023 15:39:01] INFO | task type IDs: update_system_user
[09-Oct-2023 15:39:01] INFO | Task: update_system_user
[09-Oct-2023 15:39:01] INFO | Params: "id" => 2 | "username" => "tobi" | "changePW" => false | "password" => "" | "changeFTP" => false | "ftp" => true | "changeSSH" => true | "ssh" => true | "ssh_jail" => true | "update_disk_space" => false | "diskspace" => -1 | "files" => -1
[09-Oct-2023 15:39:01] INFO | Update group status for user "tobi"
[09-Oct-2023 15:39:01] INFO | Create ssh jail
====

Test anderer Verzeichnisse:

Code: Select all

tobi@merkur:/home/users/xyz-demo$ pwd
/home/users/xyz-demo
tobi@merkur:/home/users/xyz-demo$ cd /var/log
tobi@merkur:/var/log$ pwd
/var/log
tobi@merkur:/var/log$ ll
insgesamt 3380
drwxr-xr-x  15 root    root               4096  8. Okt 06:24 .
drwxr-xr-x  12 root    root               4096  5. Okt 14:51 ..
-rw-r--r--   1 root    root              29639  8. Okt 03:01 alternatives.log
drwxr-x---   3 root    adm                4096  9. Okt 06:24 apache2
drwxr-xr-x   2 root    root               4096  8. Okt 20:20 apt
drwxr-xr-x   2 root    root               4096  9. Okt 00:00 atop
-rw-rw----   1 root    utmp            1743744  9. Okt 16:18 btmp
drwxr-xr-x   2 clamav  clamav             4096  8. Okt 06:24 clamav
-rw-r--r--   1 root    root             421589  8. Okt 20:20 dpkg.log
-rw-r-----   1 root    adm              418170  9. Okt 16:22 fail2ban.log
-rw-r-----   1 root    adm              482454  8. Okt 06:23 fail2ban.log.1
-rw-r--r--   1 root    root                  0  5. Okt 14:44 faillog
-rw-r--r--   1 root    root               3737  5. Okt 14:52 fontconfig.log
drwxr-xr-x   3 root    root               4096  5. Okt 14:48 installer
drwxr-sr-x+  3 root    systemd-journal    4096  5. Okt 14:48 journal
drwx------   4 keyhelp keyhelp            4096  8. Okt 03:01 keyhelp
-rw-rw-r--   1 root    utmp            1460876  9. Okt 16:21 lastlog
-rw-------   1 root    root               5368  9. Okt 15:45 php8.2-fpm.log
-rw-------   1 root    root               7741  6. Okt 08:38 php8.2-fpm.log.1
drwx------   2 root    root               4096  5. Okt 14:44 private
drwxr-xr-x   2 root    root               4096  8. Okt 06:24 proftpd
lrwxrwxrwx   1 root    root                 39  5. Okt 14:44 README -> ../../usr/share/doc/systemd/README.logs
drwxr-s---   2 redis   adm                4096  8. Okt 06:24 redis
drwxr-x---   2 _rspamd _rspamd            4096  9. Okt 06:25 rspamd
drwxr-xr-x   3 root    root               4096  5. Okt 14:46 runit
drwxr-xr-x   2 root    root               4096  4. Dez 2022  sysstat
-rw-rw-r--   1 root    utmp             224640  9. Okt 16:21 wtmp

Gruppen Information des Nutzers:

Code: Select all

merkur /home/users/tobi # groups tobi
tobi : tobi keyhelp_file_manager keyhelp_chroot

Groups File:

Code: Select all

keyhelp_chroot:x:1006:xyz-demo,tobi
tobi:x:5001:

[Alexander]

Und bitte noch einmal den Inhalt von: /etc/ssh/sshd_config

[Tobi7889]

Code: Select all

#SSH Port Configuration
Port 22

# Supported HostKey algorithms by order of preference.
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key

KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

# Password based logins are disabled - only public key based logins are allowed.
AuthenticationMethods password publickey

# Authentication:
PermitRootLogin yes
MaxAuthTries 3
PubkeyAuthentication yes
PasswordAuthentication yes
UsePAM yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
AuthorizedKeysFile     .ssh/authorized_keys

# To disable tunneled clear text passwords, change to no here!
PermitEmptyPasswords no

# LogLevel VERBOSE logs user's key fingerprint on login. Needed to have a clear audit track of which key was using to log in.
LogLevel VERBOSE

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Security Settings
X11Forwarding no
PrintMotd no
IgnoreRhosts yes
Protocol 2

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# Use kernel sandbox mechanisms where possible in unprivileged processes
# Systrace on OpenBSD, Seccomp on Linux, seatbelt on MacOSX/Darwin, rlimit elsewhere.
UsePrivilegeSeparation sandbox

# override default of no subsystems
Subsystem       sftp    /usr/lib/openssh/sftp-server

[Florian]

Hallo,

da fehlen die ganzen Keyhelp Einträge:

Code: Select all

# Limit KeyHelp usergroup
DenyGroups keyhelp_nossh keyhelp_suspended

Match Group keyhelp_chroot
 ChrootDirectory %h
 AllowTCPForwarding no
 X11Forwarding no
Match all

[Tobi7889]

Aiiiaiiai, das war es danke!
Scheint er dann mit meiner Config nicht gesetzt bzw. überschrieben zu haben, mein Fehler! Danke