[DM800hd] chroot maken?

[Gast Shape]

Hallo medesatters,

 

Ik heb een dreambox 800hd met gekoppelde hardeschijf, die ik sinds geruimee tijd als een SCP servertje gebruik. Er wordt gebruik gemaakt van een private key. Een wachtwoord wordt niet meer geaccepteerd. Werkt perfect (zei het dat mijn IP-adres weleens veranderen wil helaas).

Nu wil een goede kennis van me hier ook wel gebruik van maken, om wat kleine bestanden te kunnen uitwisselen tussen elkaar.

Harstikkene leuk, alleen zit ik het met volgende:

 

De root van de dreambox wil ik zoveel mogelijk afschermen. Dit omdat de betreffende persoon (uit ervaring) weleens op verkeerde toetsen wil klikken! Een verkeerde toets icm toevallig in de root zijn, kan betekenen dat de dreambox opnieuw geinstalleerd moet worden. Dat voorkom ik liever.

Via Winscp kan ik al aangeven dat -na inloggen- er direct een bepaalde map wordt geopend. Opzich al goed, maar ik vind het nog niet goed genoeg.

 

Vervolgens het e.e.a. verder bezocht qua instelling Winscp, maar kan niet meer vinden. Mogelijkheden in Linux zijn er wel, maar gaan (voor mijn Linux inzicht) wel knap ver.

Ik heb het dan over een chroot maken. Ik heb geen idee of de dreambox dat ook ondersteund. Heeft iemand van jullie hier toevallig ervaring mee? Zo ja, geldt de chroot voor elke verbinding die er gemaakt wordt (FTP en SFTP), of is dit per (poort) verbinding instelbaar?

 

Mvg, Shape

[Lamko]

Het is een kwestie van je geeft de gebruiker op een plek rechten en alle andere mogelijkheden haal je weg.

 

1) In een groep plaatsen en die groep rechten geven aan die start dir.

 

2) Je zorgt ervoor dat hij de bash shell niet kan gebruiken in passwd

 

3) Dan geef je per protocol aan wat je start dir is als je inlogt.

[Gast Shape]

Hallo Lamko,

 

Het klinkt simpel wat je schrijft, maar als ik het zo inschat denk ik dat het voor mij te hoog gegrepen is qua linux programmeren. Ik heb al ge-googled op scripts (chroot jail) ed alleen kan ik er niet uit wijs worden welk commando wat van actie doet, laat staan dat ik groepen gebruikers maak. Als ik het niet begrijp, weet ik ook niet wat ik doe en wat er uitgevoerd word. Qua Linux kennis is het bij mij vrij basic. Ik denk toch dat ik eerst nog wat andere mogelijkheden ga verkennen.

 

In iedergeval dank voor je antwoord.

 

Grt, Shape

[Lamko]

Ik heb vroeger Linux geleerd door onbekende commando's door google te halen. Zoals jezelf ook al aan geeft moet je scripts ook niet zomaar gebruiken.

Scripts zijn er om dingen te automatiseren die je begrijpt.

Een google op : add group linux levert mij als eerste link het complete commando. En om te controleren of het werkt levert een volgende google : list group linux je het volgende antwoord.

 

Ik heb hier een beginnerscursus als bijlage toegevoegd.

Als je hier de eerste 50 a 60 bladzijden een beetje van kent, heb je de basis van Linux al te pakken.

cursus.zip

[Gast Shape]

Op een soortgelijke manier heb ik vroeger html geleerd.

Even gekeken naar de User (groeps) en dat valt opzich nog wel mee om te doen. Elke user kan eventueel zijn/haar eigen wachtwoord krijgen. Kan dat wachtwoord ook vervangen worden door een certificaat (zoals ik nu inlog onder de user "root")?

[Lamko]

ssh ondersteunt inderdaad certificaten en dat kan je ook voor andere gebruikers instellen. Ssh is iets op zichzelf staand, daar zou je later eens naar kunnen kijken

[Gast Shape]

Moet er in de useradd commando ook een home dir commando?

Als er dan namelijk een chroot op komt, dan wordt het e.e.a. beperkt tot de home dir als ik het zo begrijp. En ik wil juist dat deze nog wel bij de hardeschijf kan komen, maar niet in de grond directory (van de root).

 

Nog belangrijker: ivm de huidge scp verbinding heb ik dropbear uit gezet (er wordt geen wachtwoord meer geaccepteerd bij inloggen, alleen een certificaat). Moet deze weer aangezet worden, zodat de andere users wel een wachtwoord kunnen gebruiken?

[Lamko]

Je zult inderdaad een dir moeten opgegeven waar iemand standaard in land. En op je andere vraag hoe wil je dat doen zonder root ? Daar begint namelijk alles ! Als je voor de andere gebruikers ook certificaten in stelt kun je dat zo laten en winscp gebruiken omdat die ook certificaten ondersteunt .

[Gast Shape]

Ok. Ben momenteel bezig met compileren. Lijkt niet lastig in iedergeval.

 

Andere vraag. Als de home dir is aangemaakt, hoe komt de user dan bij de hardeschijf van de droomdoos, om zo de files te kunnen sharen?

Misschien wat helderder, het is de bedoeling dat het een "jail" wordt en als de hdd er niet tussen staat, komt de user er ook niet (of kan dit achteraf aan gepast worden?)

[Lamko]

/ is de root

waar heb je de hardeschijf gemount ? -> mount commando uitvoeren !

is dit bijv /mnt/sda1 ofzo ? Dan kan je daar de gebruiker laten "landen"

[Gast Shape]

Of kan het zo zijn dat ik de home dir op de hardeschijf maak, waarna de daaronder de gesharde mappen zitten?

 

(net iets te snel met de reactie dus...)

 

/mnt/hda1 is de mount van de hardeschijf.

dus homedir zou dan kunnen worden /mnt/hda1/chroot/home

[Lamko]

Jup en op de termen als ssh chroot googlen moet je wel verder de goeie richting uitgooien.

[Gast Shape]

Ik heb het e.e.a. uitgezocht en weer ge-googled. De meeste commando's snap ik, alleen het werkt niet!

 

De code:

mkdir /media/hdd/chroot/

mkdir /media/hdd/chroot/home/

cd /media/hdd/chroot

mkdir etc

mkdir bin

mkdir lib

mkdir usr

mkdir usr/bin

mkdir dev

mknod dev/null c 1 3

mknod dev/zero c 1 5

cp /lib/libnss_compat.so.2 /lib/libnsl.so.1 /lib/libnss_files.so.2 ./lib/

echo '#!/bin/bash' > usr/bin/groups

echo "id -Gn" >> usr/bin/groups

touch etc/passwd

grep /etc/passwd -e "^root" > etc/passwd

grep /etc/group -e "^root" -e "^users" > etc/Group

mkdir /media/hdd/chroot/./home/algemeen

adduser -s /bin/bash -h /media/hdd/chroot/./home/algemeen -G users algemeen

passwd algemeen (waarna ik het password opgeef)

grep /etc/passwd -e "^algemeen" >> /media/hdd/chroot/etc/passwd

 

Hierna de box herstart

 

Als ik nu wil inloggen als user algemeen, dan krijg ik de volgende foutmelding:

 

Authenticatielogboek (bekijk het sessielogboek voor meer gegevens):

Met gebruikersnaam "algemeen".

 

Authenticatie mislukt.

 

Heb het wachtwoord ook al weer aangepast (en de etc/passwd file gekopieerd), maar kan er nog steeds niet inkomen. Wat doe ik mis hier?

Optie zou kunnen zijn, is dat niet alle directories zijn gevuld met de benodigde gegevens. Welke gegevens moeten allemaal gekopieerd worden naar bovenstaande directories?

[Lamko]

Dat script wat je nu gebruikt komt uit 2006, wat je als leidraad gebruikt, dat zal nooit gaan werken. Een dreambox is natuurlijk heel wat simpeler in de zin van minder mogelijk dan een gewone Linux pc waar dit script voor is.

 

[Gast Shape]

en wat zou er dan fout aan zijn cq welke opdrachten moeten vervangen worden?