Q&A
RHEL 5 に含まれる openssh のバージョンは 4.3p2 ですが、5.6p1 はどのようにインストールしましたか?
また、sshd_config の設定内容を教えてくださいませんでしょうか。
以下環境でChroot設定を実施いたしましたが、Login時の動作が想定と違い困っております。
環境:
RHEL5.4
Openssh 5.6p1
sshd_configへSubsystem sftp internal-sftpを設定後、Match UserでChrootDirectoryを設定し、クライアントからSftpで接続するとタイムアウトしてしまいます。
messagesなどにはエラーはなく、Match Userに該当しないUserでSftp接続すると正常につながります。
debug logを出力してlogを比較したのですが、違いがない状態でした。
Chroot先Directoryのパーミッションはrootが所有者で755としております。検証の為ディレクトリ設定を765などにすると、logにパーミッションエラーが記録されました。
サーバー上でlocalhost宛sftp接続すると、loginできるのですが、ディレクトリ情報を取得しようとlsコマンドを発行するとプロンプトが応答なくなる状況です。
ご意見、アドバイス頂けると大変助かります。
追記-----------------
Openssh5.6p1 は以下サイトを参考にrpmパッケージを作成しInstallいたしました。
参考先Blog
sshd_conf は以下通りです。
sshd_conf
1Protocol 2 2PermitRootLogin yes 3PasswordAuthentication yes 4ChallengeResponseAuthentication no 5UsePAM yes 6 7X11Forwarding no 8Subsystem sftp internal-sftp 9 10Match User 対象User名 11 ChrootDirectory /home/%u 12 X11Forwarding no 13 AllowTcpForwarding no 14 AllowAgentForwarding no 15 ForceCommand internal-sftp 16
回答3件
0
ベストアンサー
追加の情報、ありがとうございます。
手元の環境で手順どおりに設定しましたが、問題ないです。
internal-sftp なので、特にライブラリやデバイスファイルを用意する必要はないはず。
デバッグログですが、RHEL 5 の標準の syslog.conf だと、AUTH ではなく AUTHPRIV にしないと /var/log/secure に出力されません。
SyslogFacility AUTHPRIV LogLevel DEBUG3
正常な検証環境のログと比較すると何かわかるかもしれません。
投稿2016/04/01 02:57
総合スコア12146
アドバイスありがとうございます。
Syslog設定を実施してログ比較したところ、Chrootディレクトリの割り当てまでは一切の違いはなかったのですが、失敗する方のLogにChrootディレクトリ割り当てに続いて以下のlogが出ておりました。
出ているlogを頼りに調査したいと思います。
Apr 1 13:35:36 cld01s sshd[16401]: debug3: monitor_read: checking request 58
Apr 1 13:35:36 cld01s sshd[16401]: debug3: mm_answer_term: tearing down sessions
Apr 1 13:35:36 cld01s sshd[16401]: debug1: PAM: cleanup
Apr 1 13:35:36 cld01s sshd[16401]: debug1: PAM: closing session
Apr 1 13:35:36 cld01s sshd[16401]: Deprecated pam_stack module called from service "sshd"
Apr 1 13:35:36 cld01s sshd[16401]: pam_unix(sshd:session): session closed for user ユーザー名
Apr 1 13:35:36 cld01s sshd[16401]: debug1: PAM: deleting credentials
Apr 1 13:35:36 cld01s sshd[16401]: Deprecated pam_stack module called from service "sshd"
「debug3: mm_answer_term: tearing down sessions」が原因なのか結果なのかわかりませんが、このキーワードが怪しいですね。
再現できないので、確度の低い推測になってしまいますが、
・rssh や pam_chroot などと併用して二重に chroot になっている。
・ユーザーの .ssh/authorized_keys で「command=」を使用している(ForceCommand を上書きできるのかわかりませんが)。
・SELinux? (/var/log/audit/audit.log にエラーがあれば)
あとは、「strace -f -o (ログファイル) -p (sshdのPID)」などでトレースするしかないかも。
アドレスありがとうございます。
暫く検証環境を触れない為検証は少し遅れますが、確認してみます。
SElinuxはdisableを確認しております。
検証まで時間が空いてしまいそうなので、一度質問を閉めさせていただきます。
アドバイスありがとうございました。
0
>messagesなどにはエラーはなく
/var/log/secure にエラーログが記録されていませんか?
エラーログにエラー内容が記録されているのでそれを見れば解決の糸口になると思います
投稿2016/03/31 08:13
総合スコア2160
アドバイスありがとうございます。
Secure配下にもエラーはなく、
su:pam_unix(su-l:session): session opened for user root by 接続を試したUser (uid)といった形に、Sftpは出来ているように感じられるのですが、Loginできたのちにコマンドを発行するとTimeOutするまで応答がない状況となります。
ChrootDirectory で指定したパスですが
・そこに到達するすべてのディレクトリはrootの所有
・他のいかなるユーザやグループも書き込めない
ようになっているか再確認してください。
で、もしかしてその場所に必要なファイルが用意されていないのではないでしょうか?
そこで指定した場所がその接続ユーザにとってのルート(/)になるので、本来ルートにあるべき色々なファイルがなければなりません。
/bin/sh とか? /dev とか?最低限必要な物達をそこに用意されていますか?
多分それらのファイルがなくて接続したあとにログイン処理を続行できないというかシェル(コマンドプロンプトの画面)を提供できないみたいな状況なのではないでしょうか。
アドバイスありがとうございます。
ChrootDirectoryで指定したディレクトリは、/home/対象User名 を指定しております。
アドバイス頂いたディレクトリの経路もすべてRoot所有、r-xとなっている事を確認いたしました。
Chroot後のディレクトリ配下に各ライブラリ配置は行っていなかったので、試してみたいと思います。
検証環境で同じConfigと同じ構成で、Chroot後のディレクトリは空の状態でSftpのLoginが完了し、ディレクトリ構造が取れていたので不要と考えておりました。
あなたの回答
tips
プレビュー
