[セキュリティ]


この日記のはてなブックマーク数 このエントリーを含むはてなブックマーク

chrootsshを使用すればユーザを特定のディレクトリに閉じこめることが可能です。


chrootsshはhttp://chrootssh.sourceforge.net/から取得できます。


以下導入方法


#configure
./configure --with-md5-passwords --with-tcp-wrappers --with-ipv4-default --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check


#make
./make


#rpm -qa|grep opensshとしてopenssh関連のパッケージを削除


#/etc/sshはまた作られるので、一旦削除
rm -fR /etc/ssh


#chrootsshのディレクトリに戻りmake install
./make install


#起動スクリプトをコピー
cp contrib/redhat/sshd.init /etc/rc.d/init.d/sshd


#サービスを追加
chkconfig --add sshd


#設定ファイルの編集
/etc/sshd/sshd_config


#chrootユーザ環境の作成
手動だと手間がかかるので、こちらのスクリプトを使用してください。
Fedoraで自宅サーバー構築様にあるスクリプトを参考に既存ユーザのchroot環境作成機能をつけたものです。



関連記事
sshdfilter
iptalbesでdhcpを通す
ssh-agent - 公開鍵認証の鍵管理
chrootssh
chrootkit - rootkitの検出
scponly
iptablesでftpを通す
macアドレスによるフィルタリング
公開鍵認証でパスワードなしにログイン
tripwireによるファイル改竄検知
zlib + libpng + gd + mrtgのインストール
SNMPの設定
rp_filter - スプーフィング対策
nmapによるOSの特定
john the ripper
system-config-securitylevel-tui - ファイアウォールの設定
iptables - SNAT
iptables - DNAT
MRTGディレクトリにアクセスできない
iptablesでpingを通す
sudo
/etc/ftpusers でftpのアクセス制限
Ctrl+Alt+deleteキーによる再起動の禁止
sshdがサポートするプロトコルのバージョン
qpopperのバージョンを隠すには
iptablesのルール一覧を表示するには
BINDのバージョン情報を隠すには
iptables 設定 - ルールの削除
tcp_syncookies - SYN Flood攻撃を防ぐには
SSHでログインできるユーザを制限
RedHat 9.0以前のパッケージのアップデート
iplogによるトラフィック監視
suコマンドの制限
rootユーザで直接SSHへログインするのを防ぐ
広告