質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.49%

  • Red Hat Enterprise

    112questions

    Red Hat Enterpriseは、レッドハット社により開発・サポートが行われている業務向けLinuxディストリビューションです。オープンソースで無償で利用することができ、バイナリ版の入手・サポートは有償です。商用ディストリビューションとして人気が高く、代表的なLinuxの選択肢の一つです。

Chroot 動作について

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 897

Hon11

score 1

以下環境でChroot設定を実施いたしましたが、Login時の動作が想定と違い困っております。

環境:
RHEL5.4
Openssh 5.6p1

sshd_configへSubsystem sftp internal-sftpを設定後、Match UserでChrootDirectoryを設定し、クライアントからSftpで接続するとタイムアウトしてしまいます。

messagesなどにはエラーはなく、Match Userに該当しないUserでSftp接続すると正常につながります。
debug logを出力してlogを比較したのですが、違いがない状態でした。
Chroot先Directoryのパーミッションはrootが所有者で755としております。検証の為ディレクトリ設定を765などにすると、logにパーミッションエラーが記録されました。

サーバー上でlocalhost宛sftp接続すると、loginできるのですが、ディレクトリ情報を取得しようとlsコマンドを発行するとプロンプトが応答なくなる状況です。

ご意見、アドバイス頂けると大変助かります。

追記-----------------
Openssh5.6p1 は以下サイトを参考にrpmパッケージを作成しInstallいたしました。
参考先Blog

sshd_conf は以下通りです。

Protocol 2
PermitRootLogin yes
PasswordAuthentication yes
ChallengeResponseAuthentication no
UsePAM yes

X11Forwarding no
Subsystem       sftp    internal-sftp

Match User 対象User名
    ChrootDirectory /home/%u
    X11Forwarding no
    AllowTcpForwarding no
    AllowAgentForwarding no
    ForceCommand internal-sftp
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • TaichiYanagiya

    2016/03/31 18:29

    RHEL 5 に含まれる openssh のバージョンは 4.3p2 ですが、5.6p1 はどのようにインストールしましたか? また、sshd_config の設定内容を教えてくださいませんでしょうか。

    キャンセル

  • Hon11

    2016/04/01 11:45

    追記として記載させていただきました。

    キャンセル

回答 3

checkベストアンサー

0

追加の情報、ありがとうございます。

手元の環境で手順どおりに設定しましたが、問題ないです。
internal-sftp なので、特にライブラリやデバイスファイルを用意する必要はないはず。

デバッグログですが、RHEL 5 の標準の syslog.conf だと、AUTH ではなく AUTHPRIV にしないと /var/log/secure に出力されません。

SyslogFacility AUTHPRIV
LogLevel DEBUG3


正常な検証環境のログと比較すると何かわかるかもしれません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/01 14:08 編集

    アドバイスありがとうございます。
    Syslog設定を実施してログ比較したところ、Chrootディレクトリの割り当てまでは一切の違いはなかったのですが、失敗する方のLogにChrootディレクトリ割り当てに続いて以下のlogが出ておりました。
    出ているlogを頼りに調査したいと思います。

    Apr 1 13:35:36 cld01s sshd[16401]: debug3: monitor_read: checking request 58
    Apr 1 13:35:36 cld01s sshd[16401]: debug3: mm_answer_term: tearing down sessions
    Apr 1 13:35:36 cld01s sshd[16401]: debug1: PAM: cleanup
    Apr 1 13:35:36 cld01s sshd[16401]: debug1: PAM: closing session
    Apr 1 13:35:36 cld01s sshd[16401]: Deprecated pam_stack module called from service "sshd"
    Apr 1 13:35:36 cld01s sshd[16401]: pam_unix(sshd:session): session closed for user ユーザー名
    Apr 1 13:35:36 cld01s sshd[16401]: debug1: PAM: deleting credentials
    Apr 1 13:35:36 cld01s sshd[16401]: Deprecated pam_stack module called from service "sshd"

    キャンセル

  • 2016/04/01 16:01

    「debug3: mm_answer_term: tearing down sessions」が原因なのか結果なのかわかりませんが、このキーワードが怪しいですね。
    再現できないので、確度の低い推測になってしまいますが、

    ・rssh や pam_chroot などと併用して二重に chroot になっている。
    ・ユーザーの .ssh/authorized_keys で「command=」を使用している(ForceCommand を上書きできるのかわかりませんが)。
    ・SELinux? (/var/log/audit/audit.log にエラーがあれば)

    あとは、「strace -f -o (ログファイル) -p (sshdのPID)」などでトレースするしかないかも。

    キャンセル

  • 2016/04/04 17:47

    アドレスありがとうございます。

    暫く検証環境を触れない為検証は少し遅れますが、確認してみます。
    SElinuxはdisableを確認しております。

    キャンセル

  • 2016/04/21 15:54

    検証まで時間が空いてしまいそうなので、一度質問を閉めさせていただきます。
    アドバイスありがとうございました。

    キャンセル

0

>messagesなどにはエラーはなく

/var/log/secure にエラーログが記録されていませんか?
エラーログにエラー内容が記録されているのでそれを見れば解決の糸口になると思います

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/03/31 17:42

    アドバイスありがとうございます。
    Secure配下にもエラーはなく、
    su:pam_unix(su-l:session): session opened for user root by 接続を試したUser (uid)といった形に、Sftpは出来ているように感じられるのですが、Loginできたのちにコマンドを発行するとTimeOutするまで応答がない状況となります。

    キャンセル

  • 2016/03/31 17:56

    ChrootDirectory で指定したパスですが
    ・そこに到達するすべてのディレクトリはrootの所有
    ・他のいかなるユーザやグループも書き込めない
    ようになっているか再確認してください。

    で、もしかしてその場所に必要なファイルが用意されていないのではないでしょうか?
    そこで指定した場所がその接続ユーザにとってのルート(/)になるので、本来ルートにあるべき色々なファイルがなければなりません。
    /bin/sh とか? /dev とか?最低限必要な物達をそこに用意されていますか?
    多分それらのファイルがなくて接続したあとにログイン処理を続行できないというかシェル(コマンドプロンプトの画面)を提供できないみたいな状況なのではないでしょうか。

    キャンセル

  • 2016/04/01 10:14

    アドバイスありがとうございます。
    ChrootDirectoryで指定したディレクトリは、/home/対象User名 を指定しております。
    アドバイス頂いたディレクトリの経路もすべてRoot所有、r-xとなっている事を確認いたしました。
    Chroot後のディレクトリ配下に各ライブラリ配置は行っていなかったので、試してみたいと思います。
    検証環境で同じConfigと同じ構成で、Chroot後のディレクトリは空の状態でSftpのLoginが完了し、ディレクトリ構造が取れていたので不要と考えておりました。

    キャンセル

0

サーバー上でlocalhost宛sftp接続すると、loginできるのですが、ディレクトリ情報を取得しようとlsコマンドを発行するとプロンプトが応答なくなる状況です。

症状的に コマンドが見つからない状態と思いますが、chroot 後のディレクトリ内に、/bin/ls とかのコマンドや必要なライブラリーをコピーして用意されていますか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/01 10:15

    アドバイスありがとうございます。
    Chroot後のディレクトリ配下にコマンドの配置は行っていなかったので、試してみたいと思います。
    検証環境で同じConfigと同じ構成で、Chroot後のディレクトリは空の状態でSftpのLoginが完了し、ディレクトリ構造が取れていたので不要と考えておりました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.49%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Red Hat Enterprise

    112questions

    Red Hat Enterpriseは、レッドハット社により開発・サポートが行われている業務向けLinuxディストリビューションです。オープンソースで無償で利用することができ、バイナリ版の入手・サポートは有償です。商用ディストリビューションとして人気が高く、代表的なLinuxの選択肢の一つです。