ezjail - permission denied beim einloggen

Mardor

Mardor

Well-Known Member
Hallo,

ich wollte für meinen Server einen Jail einrichten, in dem ich mich einloggen kann und einfach als User hantieren kann. Die Idee ist einfach eine eingeschränkte Umgebung zu haben in der ich meinen IRC client etc laufen lassen kann.

Nachdem ich mit ezjail ein Jail erstellt habe und in der Jail dann einen User angelgt habe und in der rc.conf danach SSH ativiert habe, habe ich mich dann versucht über TCP port 23 (ich hatte einen pf rdr von outside 23 auf inside 22 eingerichtet) einzuloggen.

Daraufhin erhalte ich folgende Fehlermeldung:

Code: 
/bin/tcsh: Permission denied

Nach einigem Suchen habe ich gesehen, dass /bin bei mir auf /basejail/bin verweist und ich die rechte nicht ändern darf.

Code: 
chmod 755 basejail/
chmod: basejail/: Read-only file system

Meine Fragen hierzu wären:

Gibt es hier ein Lösung, die mir nicht die Sicherheit gefährdet ?

Gruß Mardor
 
"Einloggen und als User hantieren in einer eingeschränkten Umgebung" gibt es auch ohne jail. Man nennt es "einloggen und als User hantieren".

Ist das jail fs noexec gemountet? Wie sieht das überhaupt aus alles? Was ist wo gemountet? Funktioniert jexec in das jail?
 
Ich meine, fuer den SSH login will die jail i.A. auf /dev/pts zugreifen koennen. Du koenntest mal mount.devfs; in der jail.conf eintragen (falls du das verwendest) um zu sehen, ob's damit funktioniert. Wenn's daran lag, wirst du wohl aber noch ein devfs_ruleset fuer die Jail konfigurieren wollen, damit die Jails nicht alles unterhalb von /dev sehen.
 
"Einloggen und als User hantieren in einer eingeschränkten Umgebung" gibt es auch ohne jail. Man nennt es "einloggen und als User hantieren".
Zum Vergrößern anklicken....
Korrigiert mich wenn ich falsch liege. Eine Verbindung zu einem Server ist bidrectional, d.h. befindet sich in einem Client (irc client, web client) ein exploit könnte dieser vom Server ausgenutzt werden, da wäre ein Jail doch hilfreich, oder liege ich da so falsch ?

Was ist wo gemountet? Funktioniert jexec in das jail?
Zum Vergrößern anklicken....

Das Verzeichnis jail findet sich unter /usr/ das Jail dann sozusagen in /usr/jail/<jailname>. Ich kann mit jexec wunderbar ins Jail wechseln.

Du koenntest mal mount.devfs; in der jail.conf eintragen (falls du das verwendest) um zu sehen, ob's damit funktioniert. Wenn's daran lag, wirst du wohl aber noch ein devfs_ruleset fuer die Jail konfigurieren wollen, damit die Jails nicht alles unterhalb von /dev sehen.
Zum Vergrößern anklicken....

Das Problem denke ich habe ich schon gefunden, es ist wohl das der User der sich eingeloggt hat und nicht in der Gruppe wheel ist keine Berechtigung auf das Verzeichnis "basejail/bin" hat.

Code: 
lrwxr-x---   1 root  wheel  -   13B Sep  1 20:44 bin@ -> /basejail/bin

/usr/jails/user: cd basejail/bin
/usr/jails/user/basejail/bin: ls

-r-xr-xr-x   2 root  wheel  -     373k Dec  4  2012 tcsh*

Flags "schg" ist für tcsh allerdings nicht gesetzt. Wenn ich allerdings versuche die Berechtigung zu Ändern funktioniert dies nicht. Hierbei wäre sowieso die Frage ob ich hier nicht eine Sicherheitslücke einfange.

Code: 
chmod 755 basejail/
chmod: basejail/: Read-only file system


Gruß Mardor
 
Du zeigst nur den Link auf /basejail/bin, aber nicht das Verzeichnis. Berechtigungen von symlinks haben keine Bedeutung, wenn man das AFAIK nicht irgendwo extra einschaltet.

Edit: Überhaupt ist es immer sehr schwer etwas nachzuvollziehen, wenn man nicht sieht, was wie gemountet ist, als welcher user die Befehle ausgeführt werden etc.
 
Hallo TCM,

stimmt du hast Recht, daran habe ich nicht gedacht.

Das ist was du suchst oder ?

Code: 
/usr/jails/user/basejail: ls
total 77
drwxr-x---   9 root  wheel  -    9B Aug 31 19:42 ./
drwxr-xr-x  12 root  wheel  -   23B Sep  1 20:58 ../
drwxr-xr-x   2 root  wheel  -   46B Aug 31 19:42 bin/
drwxr-xr-x   7 root  wheel  -   39B Aug 31 19:42 boot/
drwxr-xr-x   3 root  wheel  -   48B Aug 31 19:42 lib/
drwxr-xr-x   3 root  wheel  -    5B Aug 31 19:42 libexec/
drwxr-xr-x   2 root  wheel  -  142B Aug 31 19:42 rescue/
drwxr-xr-x   2 root  wheel  -  130B Aug 31 19:42 sbin/
drwxr-x---  11 root  wheel  -   11B Aug 31 19:42 usr/

Von hier sieht es so aus als wäre die Berechtigung in Ordnung.


Gruß Mardor
 
Das wuerde mich jetzt stark wundern wenn du in der Gruppe wheel sein muesstest um dich per ssh einzuloggen. In meinen ezjails geht das ohne wheel und ich hab im Prinzip nur die Standardkonfiguration. Soweit ich mich erinner war das einzige was man brauchte das /dev aber du wirst's schon besser wissen, wenn du das nicht ausprobieren willst.
 
Hallo Ernst,

sorry das ich deinen Vorschlag übergangen habe, ich muss noch rausfinden wie ich dies mit ezjail mache und werde das dann auch gleich ausprobieren.

Gruß Mardor
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben