http://www.digimoon.net/blog/ DigiMoon 맘대로 닦고 조이고 기름치는 재미가 있는 DigiMoon만의 기억 저장소 ko Thu, 11 Mar 2010 01:07:35 +0900 Textcube 1.7.8 : Con moto http://www.digimoon.net/blog/attach/1/1328558559.gif http://www.digimoon.net/blog/ 190 175 DigiMoon 맘대로 닦고 조이고 기름치는 재미가 있는 DigiMoon만의 기억 저장소 http://www.digimoon.net/blog/343#comment549 뒈지문님 좋은정보 감사합니다. (여리) http://www.digimoon.net/blog/343#comment549 http://www.digimoon.net/blog/343#comment Sun, 08 Nov 2009 19:28:11 +0900 http://www.digimoon.net/blog/343#comment553 sendmail 을 사용할시 추가 사항이 있을까요? (김상희) http://www.digimoon.net/blog/343#comment553 http://www.digimoon.net/blog/343#comment Sat, 19 Dec 2009 21:28:13 +0900 http://www.digimoon.net/blog/343#comment554 아무런 추가 사항 없습니다. 본 문서에 의하면 chroot 설정을 위한 작업은 단지 SSH 접속 시 제공되는 쉘환경을 위한 OpenSSH 설정 파일 및 디렉토리/파일 퍼미션 조정이 전부입니다. 여타 데몬의 작동 환경에 영향을 미치는 설정은 없죠. (디지문) http://www.digimoon.net/blog/343#comment554 http://www.digimoon.net/blog/343#comment Sun, 20 Dec 2009 13:51:28 +0900 http://www.digimoon.net/blog/343#comment556 아 그렇군요.. 그럼 기타 apache 나... sendmail 관련된 사항은 없다는 거군요.. ssh 보안을 위한... (김상희) http://www.digimoon.net/blog/343#comment556 http://www.digimoon.net/blog/343#comment Mon, 21 Dec 2009 23:27:41 +0900 http://www.digimoon.net/blog/343#comment559 아래 문서의 방법이라면 아파치나 센드메일에 대해 고민 좀 해야죠. http://wiki.kldp.org/wiki.php/DocbookSgml/ChrootAPM (디지문) http://www.digimoon.net/blog/343#comment559 http://www.digimoon.net/blog/343#comment Tue, 22 Dec 2009 12:33:54 +0900 http://www.digimoon.net/blog/343#comment561 저는 왜 ㅠㅠ /bin/bash: Too many levels of symbolic links 이렇게 나올까요 일반 유저 로그인시 ㅠㅠ (김상희) http://www.digimoon.net/blog/343#comment561 http://www.digimoon.net/blog/343#comment Sat, 02 Jan 2010 06:51:34 +0900 http://www.digimoon.net/blog/343#comment562 -bash: /dev/null: Permission denied -bash: /dev/null: Permission denied -bash: /dev/null: Permission denied -bash: /dev/null: Permission denied 어것두 문제인듯 (김상희) http://www.digimoon.net/blog/343#comment562 http://www.digimoon.net/blog/343#comment Sat, 02 Jan 2010 08:26:53 +0900 http://www.digimoon.net/blog/343#comment563 환경설정 파일, 라이브러리 등등 bash shell 구조에 대해 연구 좀 하셔야 할겁니다. OpenSSH chroot 설정은 본 문서대로 일괄적으로 따라한다고 완성할 수 있는 성격의 작업이 아닙니다. OS 배포판마다 쉘 설정 파일의 구조가 조금씩 다르기 때문이죠. 구글 검색이 답입니다. 아래 링크 참고하시면 도움이 될 듯 하네요. http://theeye.pe.kr/entry/OpenSSH-chroot-환경에서의-필수-파일들 CentOS 5.x 32bit 쓰고 계신다면 /chroot 디렉토리 하단에 복사해 넣어야 할 디렉토리와 파일 리스트를 뽑아다 제공해 드릴 수 있습니다. (디지문) http://www.digimoon.net/blog/343#comment563 http://www.digimoon.net/blog/343#comment Sat, 02 Jan 2010 17:34:53 +0900 http://www.digimoon.net/blog/343#comment564 안녕하세요.. 고맙습니다.. 모두 어느정도 해결은 한 것 같은대.. chroot 에서 한글 파일이 ??????? 으로 표기됩니다. i18n 다일도 다 옴겨 봤는데.... 이 문제 만 해결을 못하고 있습니다.. centos 5.x 32 맞습니다. 조언 부탁드리구요.. 감사합니다. (김상희) http://www.digimoon.net/blog/343#comment564 http://www.digimoon.net/blog/343#comment Sat, 02 Jan 2010 20:21:19 +0900 http://www.digimoon.net/blog/343#comment565 ls 커맨드를 사용할 때 아래처럼 옵션을 주고 확인하면 됩니다. ls -alhF --color=tty --show-control-chars 쉘에 전역변수로 적용하고 싶으면 /chroot/etc/bashrc에 적용시키면 됩니다. alias를 활용하면 되죠. [root@digimoon:/chroot/etc]# cat /chroot/etc/bashrc # /etc/bashrc # System wide functions and aliases # Environment stuff goes in /etc/profile # By default, we want this to get set. # Even for non-interactive, non-login shells. umask 072 # vim:ts=4:sw=4 alias vi='vim' alias grep='grep --color=auto' alias ll='ls -alhF --color=tty --show-control-chars' alias mysqldump='/usr/local/mysql/bin/mysqldump' alias mysql='/usr/local/mysql/bin/mysql' PS1="\[\033[1;31m\][SSH:\w]$ \[\033[0;37m\]" [root@digimoon:/chroot/etc]# (디지문) http://www.digimoon.net/blog/343#comment565 http://www.digimoon.net/blog/343#comment Sat, 02 Jan 2010 21:06:38 +0900 http://www.digimoon.net/blog/343#comment566 [SSH:~]$ ll total 36K drwx---r-x 2 www users 4.0K Jan 2 19:17 ㄴㅁㅇㅁ/ ls 하면 ???????????????? 입니다 ㅠㅠ (김상희) http://www.digimoon.net/blog/343#comment566 http://www.digimoon.net/blog/343#comment Sat, 02 Jan 2010 21:42:05 +0900 http://www.digimoon.net/blog/343#comment567 그리고 su - 는 어떻게 해결 하셨죠? (김상희) http://www.digimoon.net/blog/343#comment567 http://www.digimoon.net/blog/343#comment Sat, 02 Jan 2010 21:43:36 +0900 http://www.digimoon.net/blog/343#comment568 본 문서에 의하면 순수 ls 커맨드로는 한글을 제대로 출력할 수 없습니다. alias로 극복해야 합니다. 아래처럼 수정해서 쓰면 되겠죠. alias vi='vim' alias grep='grep --color=auto' alias ls='ls --show-control-chars' alias ll='ls -alhF --color=tty' alias mysqldump='/usr/local/mysql/bin/mysqldump' alias mysql='/usr/local/mysql/bin/mysql' (디지문) http://www.digimoon.net/blog/343#comment568 http://www.digimoon.net/blog/343#comment Sat, 02 Jan 2010 23:11:41 +0900 http://www.digimoon.net/blog/343#comment569 su - 는 원래 안 먹힙니다. su -를 허용할 계정을 chrootgroup에서 제외시키고 /chroot 바깥의 경로에 홈디렉토리를 위치시켜 사용해야 합니다. (디지문) http://www.digimoon.net/blog/343#comment569 http://www.digimoon.net/blog/343#comment Sat, 06 Feb 2010 20:05:46 +0900 http://www.digimoon.net/blog/343#comment570 감사합니다. 모두 잘 해결햇습니다. 고맙습니다. (김상희) http://www.digimoon.net/blog/343#comment570 http://www.digimoon.net/blog/343#comment Sun, 03 Jan 2010 00:38:02 +0900 http://www.digimoon.net/blog/343#comment571 비밀 댓글입니다 비밀 댓글입니다 http://www.digimoon.net/blog/343#comment571 http://www.digimoon.net/blog/343#comment Wed, 06 Jan 2010 14:46:01 +0900 http://www.digimoon.net/blog/343#comment572 최근에 이런 저런 프로그램들이 chroot 방식을 채용하더라구요. BIND도 그렇고... 여튼 chroot의 정확한 구조에 대해서는 잘 모르겠지만 ^^; 좋은 시스템인것 같습니다. 저도 몇년전에 아는 몇몇분을 호스팅을 받아드렸었는데 그떄 참 쉘문제가 난감하더군요. 아예 안 열어주기도 뭐하고... 관리하자니 내가 너무 귀찮고 번거롭고;;; (동범이) http://www.digimoon.net/blog/343#comment572 http://www.digimoon.net/blog/343#comment Sun, 17 Jan 2010 04:33:29 +0900 http://www.digimoon.net/blog/343#comment580 정말 쉽게 잘 풀어서 설명해 주셔서 감사합니다. ssh 로 chroot 설정 이문서보다 더 쉬운건 없는것 같습니다..^^ 하지만 한가지 에러가 나오거든요... id: cannot find name for user ID 503 [SSH:~]$ 이런 에러 메세지가 나옵니다. 위에 etc/bashrc 이문서두 그대로 옮겼거든요... 저 에러 문제 빼곤 다 잘 작동 됩니다. 제 추축인데. 아무래도 ssh 여기서 사용자 정보를 못 가져 오는게 아닌지 생각해 봅니다. 아참 그리고 ls- al 이 명령을 실행 해도 목록에 소유자와 그룹명이 이름이 아닌 숫자로 나옵니다. -rw-r--r-- 1 503 499 176 Mar 1 08:00 .bash_profile -rw-r--r-- 1 503 499 124 Mar 1 08:00 .bashrc 보통은 아래와 같이 나와야 하는데 말입니다. -rw-r--r-- 1 root root 807103 1월 7 2007 termcap -rw-r--r-- 1 root root 1533 9월 20 06:24 vimrc 그룹정보와 유저 정보만 가져 오질 못하나 봅니다. 맨위에 저 에러도 그렇구요.... ssh 하에서 이 두 가지 정보를 가져 올수 있는 방법이 없을가요 ? (김길동) http://www.digimoon.net/blog/343#comment580 http://www.digimoon.net/blog/343#comment Mon, 01 Mar 2010 17:57:08 +0900 http://www.digimoon.net/blog/343#comment587 /etc/passwd, /etc/group 이 두 파일을 /chroot 디렉토리 하단에 위치시키면 됩니다. 그리고 라이브러리는 아래 파일이 반드시 위치하고 있어야 합니다. [root@localhost lib]# ls -l /chroot/lib | grep libnss_files -rwxr-xr-x 1 root root 46680 1월 5 04:23 libnss_files-2.5.so lrwxrwxrwx 1 root root 19 1월 24 16:43 libnss_files.so.2 -> libnss_files-2.5.so [root@localhost lib]# /chroot/etc/shadow 파일은 필요 없습니다. root 계정과 UID/GID가 500이상인 계정 정보만 담고 있으면 chroot shell 상에서 유저명과 그룹명을 출력하는 데에 지장 없죠. 헌데 단점이 chroot shell 상에서 어떤 일반 유저들도 이 파일을 편집기로 열어서 내용을 확인할 수 있다는 것이죠. 퍼미션 등으로 극복할 수 있는 문제가 아닙니다. 그래서 제 경우는 보안상 /chroot/etc/passwd, /chroot/etc/group 파일은 사용하지 않고 있습니다. 헌데 어차피 맘만 먹으면 패스워드를 제외한 서버 내의 모든 계정 정보를 알아내는 건 어렵지 않은 일이기에 passwd, group 파일을 세팅한다 하더라도 보안상 마이너스로 작용할 만한 일은 없을 것입니다. (디지문) http://www.digimoon.net/blog/343#comment587 http://www.digimoon.net/blog/343#comment Wed, 03 Mar 2010 19:17:38 +0900 http://www.digimoon.net/blog/343#comment589 디지문님 감사합니다. 님 덕분에 깨끗이 해결 되었네요...^^ 그런데 중간에 사용자를 추가 하면 자동으로 chroot/etc/passwd 화일이 update 되게 할수 있는 방법은 없나요 ? 아님 수동으로 사용자 추가할때마다 계속 복사해 넣어야 하나요 ? 그리고 필요한 lib 화일은 어떻게 알수 있는 거에요 ?? ldd 로 한다고 되어있는데... ldd 다음을 모르겠네요..... 그리고 한가지만 더 질문 드릴게요 현제 centos 5.4 에 vsFTPd 로 돌리고 있는데. ftp에서는 유저 home 디렉토리에서 상위로 못 올라가게 vsftpd.conf 에서 설정해놨습니다. 이건 파일질라에서 그냥 ftp 모드로 접속 할때만 설정이 유지 되더라구요. ssh 에서 Subsystem sftp /usr/libexec/openssh/sftp-server 를 주석 제거 하고 활성화 시켜서 파일질라에서 sftp 모드로 접속을 하면 아예 접속이 되질 않습니다. Connection closed by server with exitcode 127 이런 에러를 내면서요...( 물론 chrootgroup으로 묶인 유저 입니다.) chrootgroup 으로 묶이지 않은 일반 유저는 정상적으로 접속이 됩니다. 그런데 디렉토리 자유 자재로 이동 가능 합니다. sftp 모드에서는 유저 홈 디렉토리에 묶어 둘수 없나요 ? ( 현재 centos 5.4 설치 한지 1달 되어갑니다. 뭐 이것 저것 무지 설치하고 지우고 연습 중입니다. 저희 사무실 저쪽에 처박어 놨지요...공인 ip로 연결되서 이것저것 테스트 끝내고 님처럼 무료로 계정 나눠 드리고 실력 좀 쌓으려고 무지 공부 중입니다. 현재. 성공한 것들은. cacti, mrtg, awstats-mail,ftp,www sendmail,dovecot, squirrelmai, roundmail, APM, bind , 그리고 마지막 ssh 셀 입니다. 아직두 뭘었네요... ftp 끝나면 방화벽 공부할 생각 입니다. .... 그럼 수고요. (김길동) http://www.digimoon.net/blog/343#comment589 http://www.digimoon.net/blog/343#comment Wed, 03 Mar 2010 23:14:16 +0900 http://www.digimoon.net/blog/343#comment590 /chroot/etc/passwd 파일을 계정 추가할 때마다 업데이트하게 하기 위해선 쉘스크립트로 극복하는 수 밖에 없습니다. 필요한 라이브러리 확인 방법은 본문에 다 설명되어 있는데요. which로 라이브러리를 파악하고자 하는 바이너리의 절대경로를 먼저 파악한 뒤 ldd 커맨드 뒤에 입력하면 그대로 출력되어 나오죠. Subsystem sftp /usr/libexec/openssh/sftp-server 가 아니라 Subsystem sftp internal-sftp 입니다. (디지문) http://www.digimoon.net/blog/343#comment590 http://www.digimoon.net/blog/343#comment Thu, 04 Mar 2010 00:49:02 +0900