読者です 読者をやめる 読者になる 読者になる

破棄されたブログ

このブログは破棄されました。

rssh + chroot jail のハマりポイント

殴り書きのメモ。環境は Amazon Linux

これから戦いが始まるから次に作業できるのが年明けなので、忘れないように。

  • rssh 側の chroot がうまく動かない。
  • OpenSSH 側で chroot して、chroot jail 内の rssh で制限をかける。
  • OpenSSH で Subsystem sftp internal-sftp とかすると rssh 無視して sftp のときは OpenSSH の内部 sftp 使うようなるから、なんだこれってなる。
  • rssh でうまくいかないときは rssh_chroot_helper がコケる。
  • 諸々整えれば、 rssh 側でも chroot して動くのかもしれないけど、まだそこに至っていない。
  • rssh の付属スクリプト mkchroot.sh は scp 等の依存ライブラリを chroot jail へコピーするけど、これだけだと不足。
  • 依存ライブラリがシンボリックリンクとか考慮してない。
  • 依存ライブラリの依存ライブラリとか考慮してない。
  • 設定ファイルとかも足りてない。
  • パーミッションがなんか変なことがある。
  • ライブラリが足りてないと unknown user N ( N は uid ) とか出る。
  • strace で依存ライブラリとか依存設定ファイルとかも洗い出せる。
  • 自分で書いた再帰 ldd がイカレポンチなので修正しないと不味い。
  • 再帰的に依存ライブラリを洗い出すときに重複してるライブラリが多いので、メモ化なりで最適化しておかないと糞重い。
  • シェルスクリプトでメモ化までするのは楽しそう。
  • このあたりは chef でやるのがツラいところ。
  • rssh でこのダルさだと bashchroot jail 環境つくるのもっとめんどくさそう。
  • mkchroot.sh と依存ライブラリ周りの処理を解決したものはスケルトンしてディレクトリを切っておくか tar で固めるかしてとっておくと、ふたつ目以降の chroot jail 環境を作るのにらくできる、あたいはそう思うね。
  • ここまでで、scp と sftp までは動いたので、あとはシェルスクリプトをまとめて chef のレシピに入れるだけ。
  • 一番参考になるところ http://shellandcmd.com/index.php/chrooted-scp-using-openssh/

結論

Vim楽しい!!!

広告を非表示にする