noble (1) rssh.1.gz

Provided by: manpages-ja_0.5.0.0.20221215+dfsg-1_all bug

名前
       rssh - scp と sftp の両方だけ、またはその一方のみを許可する 制限付セキュアシェル


書式
       rssh -c scp|sftp-server [ options... ] [ ... ]


説明
       rssh はホストへの ssh(1) を使ったアクセスの制限を提供する制限付きシェルで、シェルが rssh に設定されたユー
       ザには、 scp(1), sftp(1), cvs(1), rdist(1), rsync(1) のうちの一つ以上のコマンド のみ 使用を許可する。  主
       に、OpenSSH (http://www.openssh.com を参照) と共に動作するように意図されてはいるが、 他の実装とも共に動作
       するだろう。

       機密をもつシステムの管理者は、このシェルをインストールすべきである。 アクセスが制限されるべきすべてのユー
       ザに対し、 そのパスワードエントリを編集し、シェルが rssh になるようにする。 例えば以下のようにする。

              luser:x:666:666::/home/luser:/usr/bin/rssh

       もし  -v オプション付きで起動されたら、 rssh はバージョン番号を表示して終了する。 rssh へのその他の引数は
       リモートの ssh(1) クライアントによって指定されたものが渡される。 一般のユーザはこのことをほとんど意識する
       必要はない。  制御を scp(1) または sftp(1) に渡すために、 rssh に渡される引数は、リモート側のシェルが受け
       取ったものを(そのまま) 使わなければならない。 もし rssh  が適合しない引数を受け取った場合には、エラーメッ
       セージを出して終了する。  ユーザが実行しようとしたプログラムが許可されなかった場合は エラーメッセージを出
       力して終了する。 また、(コマンド置換のような)シェルコマンドを実行しようとした場合も  エラーメッセージを出
       力して終了する。

       rssh には設定ファイル rssh.conf(5) があり、 rssh の動きのいくつかを設定可能である。 詳細は man ページを参
       照のこと。


セキュリティ上の注意
   コマンドライン解析器
       rssh バージョン 2.2.3 の時点では、任意のコマンドの実行を引き起こす (その結果、rssh のセキュリティをかいく
       ぐる)  ようなコマンドラインオプションを避けるために、コマンドライン全体を 解析しなくてはならない。 ソース
       コードを健全にしておくため、やや熱心すぎるぐらいにコマンドラインオプションをマッチングする。 実際にはこれ
       は問題にはならないが、理論上は可能だからである。

       本当はそうではないにもかかわらず、 「安全でないコマンドラインオプションを拒否した」という理由で rssh の実
       行を拒否されるという問題に突き当たったら、コマンドラインを次のように 変えてみて欲しい。  すべての短いオプ
       ションを1文字のオプションフラグで指定する (例えば、-ep の代わりに -e -p)、 引数とそれぞれのオプションをス
       ペースで区切る (例えば、-p123 の代わりに -p 123)。 ほとんど全ての場合で、これで問題は解決する。  お分かり
       のとおり完全な検索はしていないが、 一般的に有り得るような問題は見つかっていない。

       別の解決策は、rcp, rdist, rsync に対する完全なコマンドライン解析器を 実装しておくことがだが、それはこのプ
       ロジェクトの目的でない。 実用上は、既にある解析器で十分である」  しかし、もしそうでない場合を見つけたのな
       ら、詳細を  rssh メーリングリストに投稿して欲しい。 rssh メーリングリストへの投稿に関する詳細は rssh ホー
       ムページから得ることができる。

   rssh をかいくぐることに対する安全策
       rssh は他のいくつかのプログラムと相互に作用するように設計されている。  たとえ  rssh  に完全にバグがなくて
       も、他のプログラムの変更が rssh が提供している保護機能を無視する結果となり得る。 システム管理者、すなわち
       あなたにとって重要なことは、 rssh と共に使うようにしたサービスを現在のままにしておき、 それらのコマンドが
       ユーザーに任意のコマンドの実行を許可するような   仕組みを提供していないことを確かにしておくことでである。
       また、すべてのリリースの目標はバグがないことである一方、 完璧なものなど無い…… rssh には発見されていないバ
       グがあるかもしれず、それはユーザーが rssh を無視することを許してしまうかもしれない。

       そのような脆弱性から、システムを守ることができる。 3つの基本的な方法がある。

          1. ユーザーを chroot jail に押し込める
          2. ユーザーのホームのあるファイルシステムを noexec オプション付きでマウントする
          3. 一般的なファイルパーミッションを適切に用いる

       rssh  は、ユーザーを chroot jail に入れる能力をシステム管理者に与える。 詳細は rssh.conf(5) の man ページ
       と、ソースコードと共に配布されている CHROOT ファイルを参照のこと。 ユーザーが任意のコマンドを実行できない
       ことを確かなものにしたいなら、 chroot jail を使用し、提供しようとしているサービスに必要なプログラム以外を
       そこに置かないように気をつけること。 そうすれば、標準的なコマンドの実行を防ぐことができる。

       そして、システムの実行ファイルがあるファイルシステムと、  ユーザーのファイルを分けておき、  (もしオペレー
       ティングシステムにその機能があれば) ユーザーのファイルのある ファイルシステムを noexec オプション付きでマ
       ウントする。 こうすれば、目的のマシンに(例えば scp を使って)アップロードされた プログラムが実行されるのを
       防ぐことができる。

       最後に、chroot jail の中でユーザーがアクセスできてはならないものに ついては、標準的な Unix/POSIX ファイル
       パーミッションを使用すること。

   OpenSSH のバージョンと rssh の無視
       OpenSSH 3.5 より前では、一般的には  sshd(8)  はユーザのホームディレクトリにあるファイルを解析しようとし、
       またユーザの  $HOME/.ssh  ディレクトリからスタートアップスクリプトを実行しようとする。  rssh は決してユー
       ザーの環境(変数)を使用しようとはしない。 関連するコマンド(訳注: sftp-serverなど)は、 コンパイル時に指定さ
       れたコマンドへのフルパスを指定して execv(3) を呼び出すことで実行される。 これはユーザの PATH 変数には依存
       しないし、他の環境変数にも依存しない。

       しかしながら、起こりうるいくつかの問題が存在する。 これは完全に OpenSSH プロジェクトの sshd  の動作の仕方
       に原因があり、  決して rssh の欠陥ではない。たとえば、存在するであろう一つの問題としては、 OpenSSH の少な
       くともいくつかのリリースの sshd(8) の man ページによれば、 $HOME/.ssh/rc ファイルに書かれているコマンドは
       ユーザのデフォルトシェルの代わりに  /bin/sh によって実行される。 著者がテストに使えるシステムではこの問題
       は発生しない。 すなわち、コマンドはユーザに設定されたシェル (rssh) によって実行され、それは実行を許可しな
       い。 しかし、もしこれがあなたのシステムで有効になってしまっていれば、 悪意のあるユーザは /bin/sh に実行さ
       れるであろう $HOME/.ssh/rc ファイルをアップロードして、 rssh を無視することができるだろう。

       実際のところ、もしこの脆弱性問題が存在する(OpenSSH の)リリースが あるとすれば、それは古く、旧式のバージョ
       ンである。 最近のバージョンのOpenSSHを動かしている限りは、 私が言える範囲では問題ないはずだ。

       もし使っている  sshd がこの攻撃に対して脆弱で ある ならば、かなり制限がかかるものの、この問題に対する回避
       方法がある。 ユーザのホームディレクトリは絶対にそのユーザが書き込めては*いけない*。  もし書き込めてしまえ
       ば、ユーザは sftp を使って(.ssh)ディレクトリの 名前を変えるか消すかして、あたらしい同名のディレクトリを作
       り、好きな 環境ファイル(訳注: 上記 $HOME/.ssh/rc ファイルのこと)をそこに書き込める。 ファイルのアップロー
       ドを開放するためには、ユーザが書き込めるディレクトリが 作成されていなければならず、ホームディレクトリのそ
       れ以外の場所には 書き込めないことをユーザに承知させなければならない。

       二つ目の問題は、ユーザが環境に変数を設定できることを可能にする $HOME/.ssh/environment ファイルを、sshd が
       ユーザの認証後に読み込むことである。  環境変数 LD_LIBRARY_PATH または LD_PRELOAD を上手に操作して、任意の
       共有ライブラリを rssh バイナリにリンク させることによって rssh を完全に欺くことを許してしまう。  この問題
       を防ぐために、  rssh は(バージョン 0.9.3 の時点では)デフォルトでは静的にコンパイルされる。 前述の制限付き
       の回避方法は、この種の攻撃も防ぐことができる。 OpenSSH 3.5 の時点では、 sshdPermitUserEnvironment  オ
       プションをサポートしており、これはデフォルトで "no" に設定されている。 このオプションは、 rssh のような制
       限つきシェルが静的リンクの必要なしに適切に機能することを  可能にする。  rssh  バージョン   1.0.1   の時点
       で、configure スクリプトは OpenSSH 3.5 が 存在するかを検出し、静的コンパイルを無効にする。


バグ
       ない =8^)


関連項目
       rssh.conf(5), sshd(8), ssh(1), scp(1), sftp(1)