rssh - ອອນລາຍໃນຄລາວ

ໂຄງການ:

NAME

rssh - ເຊລທີ່ປອດໄພທີ່ຖືກຈໍາກັດອະນຸຍາດໃຫ້ພຽງແຕ່ scp ແລະ/ຫຼື sftp

ສະຫຼຸບສັງລວມ

rssh [ ທາງ​ເລືອກ... ] [ ... ]
rssh -v

ລາຍລະອຽດ

rssh ແມ່ນ Shell ທີ່ຖືກຈໍາກັດສໍາລັບການສະຫນອງການເຂົ້າເຖິງຈໍາກັດກັບເຈົ້າພາບໂດຍຜ່ານ ssh(1), ອະນຸຍາດໃຫ້ ກ
ຜູ້​ໃຊ້​ທີ່​ມີ shell ໄດ້​ຖືກ​ຕັ້ງ​ຄ່າ​ໃຫ້​ rssh ການ​ນໍາ​ໃຊ້​ຫນຶ່ງ​ຫຼື​ຫຼາຍ​ຄໍາ​ສັ່ງ scp(1)
sftp(1​) cvs(1) rdist(1) ແລະ rsync(1) ແລະ ພຽງແຕ່ ຄໍາສັ່ງເຫຼົ່ານັ້ນ. ມັນມີຈຸດປະສົງຕົ້ນຕໍ
ເພື່ອເຮັດວຽກກັບ OpenSSH (ເບິ່ງ http://www.openssh.com), ແຕ່ອາດຈະເຮັດວຽກຮ່ວມກັບອື່ນໆ
ການຈັດຕັ້ງປະຕິບັດ.

ຜູ້ເບິ່ງແຍງລະບົບຄວນຕິດຕັ້ງ shell ໃນລະບົບທີ່ຖືກຈໍາກັດ. ຫຼັງ​ຈາກ​ນັ້ນ​
ການປ້ອນໄຟລ໌ລະຫັດຜ່ານຂອງຜູ້ໃຊ້ໃດກໍ່ຕາມທີ່ມັນຕ້ອງການທີ່ຈະສະຫນອງການເຂົ້າເຖິງທີ່ຖືກຈໍາກັດ
ຄວນໄດ້ຮັບການແກ້ໄຂ, ເຊັ່ນວ່າແກະຂອງພວກເຂົາແມ່ນ rsshທີ່ຢູ່ ຍົກ​ຕົວ​ຢ່າງ:

luser:x:666:666::/home/luser:/usr/bin/rssh

ຖ້າ​ຫາກ​ວ່າ​ຮຽກ​ຮ້ອງ​ໃຫ້​ມີ​ -v ທາງເລືອກ, rssh ຈະລາຍງານສະບັບຂອງມັນ, ແລະອອກ. ອື່ນໆທັງໝົດ
ການໂຕ້ຖຽງກັບ rssh ແມ່ນສິ່ງທີ່ລະບຸໄວ້ໂດຍທາງໄກ ssh(1) ລູກຄ້າ, ແລະບໍ່ຫຼາຍປານໃດ
ຄວາມກັງວົນຕໍ່ຜູ້ໃຊ້ສະເລ່ຍ. ອາກິວເມັນທີ່ສະໜອງໃຫ້ຕ້ອງເປັນສິ່ງທີ່ເປັນແກະຢູ່ໃນຣີໂໝດ
ສຸດທ້າຍຈະໄດ້ຮັບໃນຄໍາສັ່ງທີ່ຈະຜ່ານການຄວບຄຸມ scp(1) sftp(1), ແລະອື່ນໆຖ້າຫາກວ່າ rssh ຮັບ
ການໂຕ້ຖຽງທີ່ບໍ່ສອດຄ່ອງ, ມັນຈະປ່ອຍຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດແລະອອກ. ຖ້າໂຄງການ
ຜູ້​ໃຊ້​ພະ​ຍາ​ຍາມ​ທີ່​ຈະ​ດໍາ​ເນີນ​ການ​ແມ່ນ​ບໍ່​ໄດ້​ອະ​ນຸ​ຍາດ​ໃຫ້​, ຫຼື​ປະ​ກອບ​ດ້ວຍ syntax ທີ່​ຈະ​ພະ​ຍາ​ຍາມ​ທີ່​ຈະ​ປະ​ຕິ​ບັດ a
ຄໍາສັ່ງ shell (ເຊັ່ນການທົດແທນຄໍາສັ່ງ), ມັນຍັງຈະປ່ອຍຄວາມຜິດພາດແລະອອກ.

rssh ມີ​ໄຟລ​໌​ການ​ຕັ້ງ​ຄ່າ​, rssh.conf(5), ເຊິ່ງອະນຸຍາດໃຫ້ບາງພຶດຕິກໍາຂອງ rssh to
ຖືກປັບແຕ່ງ. ເບິ່ງຫນ້າຜູ້ຊາຍສໍາລັບລາຍລະອຽດ.

ຄວາມປອດໄພ ຫມາຍເຫດ

ອ່ານ ນີ້ ສ່ວນ ກັບ ການຍົກເວັ້ນ ການດູແລ, or ທ່ານ ອາດຈະ ເອົາໃຈໃສ່ ຂອງ​ທ່ານ ລະບົບ at ສ່ຽງ!

ການນໍາໃຊ້ rssh ກັບ CVS
ຖ້າທ່ານກໍາລັງໃຊ້ rssh ເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງ CVS, ມັນຄວນຈະສັງເກດວ່າມັນເປັນໄປບໍ່ໄດ້
ປ້ອງກັນບໍ່ໃຫ້ຜູ້ໃຊ້ທີ່ຄຸ້ນເຄີຍກັບ CVS ຈາກການຂ້າມຜ່ານ rssh ແລະ​ໄດ້​ຮັບ​ແກະ​,
ເວັ້ນເສຍແຕ່ວ່າຜູ້ໃຊ້ບໍ່ມີການເຂົ້າເຖິງການຂຽນໃນ repository. ແນ່ນອນ, ຜູ້ໃຊ້ຕ້ອງ
ມີການຂຽນເຂົ້າເຖິງບ່ອນເກັບມ້ຽນເພື່ອອັບເດດມັນ, ເຊິ່ງອະນຸຍາດໃຫ້ພວກເຂົາອັບໂຫລດ
ໂຄງ​ການ​ໂດຍ​ຕົນ​ເອງ​ເຂົ້າ​ໄປ​ໃນ repository​. CVS ສະຫນອງກົນໄກຈໍານວນຫນຶ່ງສໍາລັບການປະຕິບັດ
ໂຄງ​ການ​ໂດຍ​ຕົນ​ເອງ​ດັ່ງ​ກ່າວ ... ພຽງ​ແຕ່​ວິ​ທີ​ທີ່​ປອດ​ໄພ​ສົມ​ເຫດ​ສົມ​ຜົນ​ທີ່​ຈະ​ນໍາ​ໃຊ້​ rssh ກັບ CVS ແມ່ນການນໍາໃຊ້
ສະຖານທີ່ຄຸກ chroot ເພື່ອວາງບ່ອນເກັບມ້ຽນ CVS ພາຍໃນຄຸກ chroot. ກະລຸນາເບິ່ງ
ຂ້າງລຸ່ມນີ້ແລະເອກະສານທີ່ກ່ຽວຂ້ອງທັງຫມົດສໍາລັບລາຍລະອຽດຂອງວິທີການສ້າງຕັ້ງຄຸກ chroot. ໃຫ້ສັງເກດວ່າ
ຜູ້ຊົມໃຊ້ ຈະ ຍັງ be ສາມາດ to ໄດ້ຮັບ ຫອຍ ການເຂົ້າເຖິງ ພາຍໃນ ໄດ້ ຄຸກ; ການປົກປ້ອງພຽງແຕ່ຊຶ່ງເປັນ
ສະຫນອງໃຫ້ແມ່ນວ່າພວກເຂົາບໍ່ສາມາດຫນີຈາກຄຸກ. ຂ້າພະເຈົ້າໄດ້ຮັບການຕິດຕາມເພື່ອຮັກສາການສະຫນັບສະຫນູນ
ສໍາລັບ CVS ເພາະວ່າການປ້ອງກັນນີ້ແມ່ນດີກວ່າບໍ່ມີການປ້ອງກັນ. ທ່ານ ມີ ໄດ້ ເຕືອນ. ການນໍາໃຊ້
CVS at ຂອງ​ທ່ານ ຂອງຕົນເອງ ຄວາມສ່ຽງ.

ສັກຍະພາບ ຮາກ ສົມທົບກັນ ກັບ ອາຍຸ ສະບັບ
ກ່ອນທີ່ຈະ rssh 2.3.0, ຖ້າຜູ້ໃຊ້ປົກກະຕິມີ shell ເຂົ້າເຖິງເຄື່ອງຈັກບ່ອນທີ່ rssh ແມ່ນ
ຕິດຕັ້ງ, ການປະນີປະນອມຂອງຮາກເປັນໄປໄດ້ເນື່ອງຈາກ rssh_chroot_helper ອະນຸຍາດໃຫ້ຜູ້ໃຊ້
ໂດຍເຈດຕະນາ roາກເຜັດ(2) ໄປທຸກບ່ອນໃນລະບົບໄຟລ໌. ມັນເປັນໄປໄດ້ທີ່ຈະຫຼຸດຜ່ອນການນີ້
ການ​ໂຈມ​ຕີ​ຕໍ່​ສະ​ບັບ​ທີ່​ໄດ້​ຮັບ​ຜົນ​ກະ​ທົບ​ຂອງ​ rssh ການນໍາໃຊ້ການຄວບຄຸມການເຂົ້າເຖິງຢ່າງເຂັ້ມງວດກັບໄຟລ໌, ໂດຍການເຮັດໃຫ້
ໃຫ້ແນ່ໃຈວ່າຜູ້ໃຊ້ບໍ່ສາມາດຂຽນໃສ່ໄຟລ໌ໃດໆໃນພາທິຊັນດຽວກັນກັບການປະຕິບັດລະບົບ,
ແລະວ່າການແບ່ງປັນໃດໆທີ່ພວກເຂົາສາມາດຂຽນໄຟລ໌ບໍ່ອະນຸຍາດໃຫ້ປະຕິບັດ SUID
ໂຄງການ. ເປັນຂອງ rssh 2.3.0, ການ​ໂຈມ​ຕີ​ນີ້​ໄດ້​ຮັບ​ການ​ປ້ອງ​ກັນ​ໂດຍ​ການ​ປ້ອງ​ກັນ​ຕົນ​ເອງ​
chroot(), if ຂອງ​ທ່ານ ຄຸກ is ທີ່ກໍານົດໄວ້ up ປອດໄພ. ໂດຍສະເພາະ, ໃຫ້ແນ່ໃຈວ່າຜູ້ໃຊ້ປົກກະຕິ
ບໍ່ສາມາດຂຽນໃສ່ໄດເລກະທໍລີພາຍໃນຄຸກທີ່ມີ binaries ທີ່ຖືກຄັດລອກ. ນັ້ນ
ຄວນຈະແຈ້ງ, ແຕ່ມັນຈໍາເປັນຕ້ອງເວົ້າ. ເຖິງແມ່ນວ່າມັນບໍ່ຄວນຈະມີຄວາມຈໍາເປັນຢ່າງເຂັ້ມງວດ,
ເພື່ອປົກປ້ອງລະບົບຂອງທ່ານຈາກການປະນີປະນອມທີ່ເປັນໄປໄດ້, ມັນຍັງແນະນໍາໃຫ້ປະຕິບັດຕາມ
ພາກ​ສ່ວນ​ຂ້າງ​ລຸ່ມ​ນີ້​, ຫົວ​ຂໍ້ "ການ​ປົກ​ປັກ​ຮັກ​ສາ​ຕ້ານ​ການ Bypassing rssh​"​.

ການປົກປ້ອງ ຕ້ານ bypass rssh
rssh ໄດ້ຖືກອອກແບບເພື່ອພົວພັນກັບໂຄງການອື່ນໆຈໍານວນຫນຶ່ງ. ເຖິງແມ່ນວ່າ rssh ແມ່ນ bug ຢ່າງສົມບູນ,
ບໍ່ເສຍຄ່າ, ການປ່ຽນແປງໃນໂຄງການອື່ນໆເຫຼົ່ານັ້ນອາດຈະສົ່ງຜົນໃຫ້ວິທີການຫລີກລ້ຽງ
ການປົກປ້ອງນັ້ນ rssh ມີຈຸດປະສົງເພື່ອສະຫນອງ. It is ທີ່ສໍາຄັນ ສໍາລັບການ ທ່ານ, ໄດ້ ລະບົບ
ຜູ້​ບໍ​ລິ​ຫານ, to ຢູ່ ໃນປະຈຸບັນ on ໄດ້ ການບໍລິການ ທ່ານ ເຮັດໃຫ້ ມີ ກັບ rssh, to be ໃຫ້ແນ່ໃຈວ່າ
ທີ່ ເຫຼົ່ານີ້ ຄໍາສັ່ງ do ບໍ່ ໃຫ້ ກົນໄກ to ອະນຸຍາດໃຫ້ ໄດ້ ຜູ້ໃຊ້ to ແລ່ນ ທີ່ຕົນເອງມັກ ຄຳ ສັ່ງ.
ນອກຈາກນີ້, ໃນຂະນະທີ່ເປົ້າຫມາຍຂອງທຸກການປ່ອຍແມ່ນຈະບໍ່ມີ bug, ບໍ່ມີໃຜທີ່ສົມບູນແບບ ... ອາດຈະມີ
ແມງໄມ້ທີ່ບໍ່ໄດ້ຄົ້ນພົບໃນ rssh ເຊິ່ງອາດຈະອະນຸຍາດໃຫ້ຜູ້ໃຊ້ຫລີກລ້ຽງມັນ.

ເຈົ້າສາມາດປົກປ້ອງລະບົບຂອງເຈົ້າຈາກຜູ້ທີ່ຈະໃຊ້ປະໂຫຍດຈາກຈຸດອ່ອນດັ່ງກ່າວ. ນີ້
ແມ່ນບໍ່ຕ້ອງການ ສຳ ລັບ rssh ເຮັດວຽກຢ່າງຖືກຕ້ອງ, ແຕ່ມັນເປັນຄວາມຄິດທີ່ດີແທ້ໆ. ມີຫົກ
ຂັ້ນ​ຕອນ​ພື້ນ​ຖານ​:

1. ປົກປ້ອງບັນຊີທີ່ບໍ່ແມ່ນຜູ້ບໍລິຫານທັງໝົດດ້ວຍ rssh (ເຊັ່ນ: ບໍ່ມີຜູ້ໃຊ້ປົກກະຕິ
ຄວນ​ຈະ​ມີ​ການ​ເຂົ້າ​ເຖິງ shell ກັບ server)

2. ເອົາຜູ້ໃຊ້ຂອງເຈົ້າຢູ່ໃນຄຸກ chroot

3. ຈໍາ​ກັດ binaries ທີ່​ອາ​ໄສ​ຢູ່​ໃນ​ຄຸກ​ໃຫ້​ຕໍາ​່​ສຸດ​ທີ່​ຕ້ອງ​ການ​

4. ຕິດ​ຕັ້ງ​ລະ​ບົບ​ໄຟລ​໌​ເຮືອນ​ຂອງ​ເຂົາ​ເຈົ້າ​ດ້ວຍ​ທາງ​ເລືອກ noexec/nosuid (ເຊັ່ນ​: ການ​ນໍາ​ໃຊ້​ແຍກ​ຕ່າງ​ຫາກ​
ການແບ່ງປັນຢູ່ໃນຄຸກສໍາລັບໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້ແລະໄຟລ໌ອື່ນໆທັງຫມົດ, ຖ້າ
ເປັນໄປໄດ້/ສົມເຫດສົມຜົນ)

5. ສ້າງກຸ່ມສໍາລັບຜູ້ໃຊ້ rssh, ແລະຈໍາກັດການເຂົ້າເຖິງ binaries ທີ່ສາມາດປະຕິບັດໄດ້
ກັບຜູ້ໃຊ້ໃນກຸ່ມນັ້ນ.

6. ໃຊ້ການອະນຸຍາດໄຟລ໌ມາດຕະຖານຢ່າງລະມັດລະວັງແລະເຫມາະສົມ

ຖ້າເປັນໄປໄດ້, ໃຫ້ແນ່ໃຈວ່າບໍ່ມີຜູ້ໃຊ້ປົກກະຕິມີປະເພດຂອງ shell ໃດໆເຂົ້າເຖິງລະບົບ
ນອກ​ຈາກ​ຜ່ານ rssh. ຖ້າບໍ່ດັ່ງນັ້ນ, ຜູ້ໃຊ້ທີ່ມີການເຂົ້າເຖິງ shell ສາມາດຂຸດຄົ້ນໄດ້
ແມງໄມ້ທີ່ບໍ່ໄດ້ຄົ້ນພົບໃນ rssh_chroot_helper ເພື່ອໃຫ້ໄດ້ຮັບການເຂົ້າເຖິງຮາກກັບເຄື່ອງແມ່ຂ່າຍ.

rssh ເຮັດໃຫ້ຜູ້ເບິ່ງແຍງລະບົບສາມາດຈັດວາງຜູ້ໃຊ້ຢູ່ໃນຄຸກ chroot. ເບິ່ງ
ລາຍລະອຽດຢູ່ໃນຫນ້າຜູ້ຊາຍສໍາລັບ rssh.conf ແລະໃນໄຟລ໌ CHROOT ເຊິ່ງຖືກແຈກຢາຍກັບ
ລະຫັດແຫຼ່ງ. ຖ້າທ່ານຕ້ອງການໃຫ້ແນ່ໃຈວ່າຜູ້ໃຊ້ບໍ່ສາມາດດໍາເນີນການໂຄງການທີ່ຕົນເອງມັກ, ໃຊ້ chroot
ຄຸກ, ແລະໃຫ້ແນ່ໃຈວ່າຈະບໍ່ວາງໂຄງການໃດໆນອກເຫນືອຈາກສິ່ງທີ່ຈໍາເປັນຢ່າງແທ້ຈິງ
ໃຫ້ການບໍລິການທີ່ເຈົ້າພະຍາຍາມສະໜອງໃຫ້. ນີ້ປ້ອງກັນບໍ່ໃຫ້ພວກເຂົາແລ່ນມາດຕະຖານ
ຄໍາສັ່ງລະບົບ.

ຫຼັງຈາກນັ້ນ, ໃຫ້ແນ່ໃຈວ່າໄຟລ໌ຂອງຜູ້ໃຊ້ຢູ່ໃນຄຸກຢູ່ໃນລະບົບໄຟລ໌ແຍກຕ່າງຫາກຈາກຂອງທ່ານ
ການ​ປະ​ຕິ​ບັດ​ຂອງ​ລະ​ບົບ​. ຖ້າເປັນໄປໄດ້ໃນສະພາບແວດລ້ອມຂອງທ່ານ, ໃຫ້ແນ່ໃຈວ່າທ່ານຕິດຕັ້ງອັນນີ້
ລະບົບໄຟລ໌ໂດຍໃຊ້ noexec ແລະ ດັງ ທາງເລືອກ, ຖ້າຫາກວ່າລະບົບປະຕິບັດການຂອງທ່ານສະຫນອງໃຫ້ເຂົາເຈົ້າ.
ນີ້ປ້ອງກັນບໍ່ໃຫ້ຜູ້ໃຊ້ສາມາດປະຕິບັດໂຄງການທີ່ເຂົາເຈົ້າໄດ້ອັບໂຫລດໄປ
ເຄື່ອງຈັກເປົ້າຫມາຍ (ເຊັ່ນ: ການໃຊ້ scp) ເຊິ່ງອາດຈະສາມາດປະຕິບັດໄດ້, ແລະປ້ອງກັນບໍ່ໃຫ້ SUID
ໂປລແກລມຈາກການເຄົາລົບ bits SUID. ໃຫ້ສັງເກດວ່າທາງເລືອກເຫຼົ່ານີ້ຈໍາເປັນຕ້ອງມີຜູ້ໃຊ້.
ໄຟລ໌ແມ່ນຢູ່ໃນການແບ່ງປັນແຍກຕ່າງຫາກຈາກ binaries ແລະຫ້ອງສະຫມຸດທີ່ອາໄສຢູ່ໃນຄຸກ.
ດັ່ງນັ້ນ, ທ່ານຈະຕ້ອງການຢ່າງຫນ້ອຍ 2 ພາກສ່ວນສໍາລັບຄຸກຂອງທ່ານເພື່ອເຮັດຢ່າງຖືກຕ້ອງ (ຫນຶ່ງສໍາລັບ
ລະບົບຖານສອງໃນຄຸກ, ອື່ນສໍາລັບລາຍຊື່ຜູ້ໃຊ້).

ນອກຈາກນັ້ນ, ສ້າງກຸ່ມ, ຕົວຢ່າງ "rsshuser", ສໍາລັບຜູ້ໃຊ້ rssh. ເອົາຜູ້ໃຊ້ຂອງທ່ານທັງຫມົດ
ຜູ້ທີ່ຈະຖືກຈໍາກັດໂດຍ rssh ໃນກຸ່ມນັ້ນ. ກໍານົດຄວາມເປັນເຈົ້າຂອງແລະການອະນຸຍາດໃນ rssh
ແລະ rssh_chroot_helper ເພື່ອໃຫ້ພຽງແຕ່ຜູ້ໃຊ້ເຫຼົ່ານັ້ນສາມາດປະຕິບັດພວກມັນໄດ້. ຄໍາສັ່ງຕໍ່ໄປນີ້
ຄວນ​ສະ​ແດງ​ໃຫ້​ເຫັນ​:

# ກຸ່ມ rsshuser
# chown ຮາກ:rsshuser rssh rssh_chroot_helper
# chmod 550 rssh
# chmod 4550 rssh_chroot_helper

ສຸດທ້າຍ, ໃຊ້ການອະນຸຍາດໄຟລ໌ Unix/POSIX ມາດຕະຖານເພື່ອຮັບປະກັນວ່າເຂົາເຈົ້າບໍ່ສາມາດເຂົ້າເຖິງໄຟລ໌ທີ່ເຂົາເຈົ້າໄດ້
ບໍ່ຄວນຢູ່ໃນຄຸກ chroot.

ຄໍາສັ່ງ ອອນໄລນ໌ Parser
ໃນຖານະເປັນຂອງ rssh ຮຸ່ນ 2.2.3, ໂປລແກລມຕ້ອງແຍກອອກເສັ້ນຄໍາສັ່ງທີ່ສົມບູນເພື່ອຫຼີກເວັ້ນ
ຕົວເລືອກແຖວຄໍາສັ່ງທີ່ເຮັດໃຫ້ການປະຕິບັດໂຄງການທີ່ມັກ (ແລະເພາະສະນັ້ນ bypass ໄດ້
ຄວາມປອດໄພຂອງ rssh). ເພື່ອຮັກສາລະຫັດແຫຼ່ງໂປຼແກຼມໃຫ້ຖືກຕ້ອງ, parser ແມ່ນເລັກນ້ອຍ
ມີຄວາມກະຕືລືລົ້ນກ່ຽວກັບການຈັບຄູ່ທາງເລືອກແຖວຄໍາສັ່ງ. ໃນທາງປະຕິບັດ, ນີ້ອາດຈະບໍ່ເປັນ
ບັນຫາ, ແຕ່ໃນທາງທິດສະດີມັນເປັນໄປໄດ້.

ຖ້າທ່ານແລ່ນເຂົ້າໄປໃນບັນຫາທີ່ rssh ປະຕິເສດທີ່ຈະດໍາເນີນການ, ອ້າງວ່າປະຕິເສດຄວາມບໍ່ປອດໄພ
ຕົວເລືອກແຖວຄໍາສັ່ງທີ່ບໍ່ໄດ້ລະບຸ, ລອງປ່ຽນເສັ້ນຄໍາສັ່ງຂອງເຈົ້າແບບນັ້ນ
ທັງຫມົດ ສັ້ນ ຕົວເລືອກຖືກລະບຸເປັນທຸງທາງເລືອກຕົວອັກສອນດຽວ (ຕົວຢ່າງ -e -p ແທນ -ep)
ແລະໃຫ້ແນ່ໃຈວ່າທ່ານແຍກການໂຕ້ຖຽງຈາກທາງເລືອກຂອງເຂົາເຈົ້າໂດຍຊ່ອງຫວ່າງ (ຕົວຢ່າງ -p 123
ແທນ -p123). ໃນເກືອບທຸກກໍລະນີ, ນີ້ຄວນແກ້ໄຂບັນຫາ. ຍອມຮັບ, ເປັນ
ບໍ່ໄດ້ດໍາເນີນການຄົ້ນຫາຢ່າງຄົບຖ້ວນ, ແຕ່ບໍ່ພົບກໍລະນີທີ່ເປັນບັນຫາ
ອາດຈະເປັນເລື່ອງທົ່ວໄປ.

ທາງເລືອກແມ່ນຈະປະກອບມີ parser ເສັ້ນຄໍາສັ່ງທີ່ສົມບູນສໍາລັບ rcp, rdist,
ແລະ rsync; ນີ້ແມ່ນທາງອອກຈາກຂອບເຂດຂອງໂຄງການນີ້. ໃນການປະຕິບັດ, ທີ່ມີຢູ່ແລ້ວ
parser ຄວນພຽງພໍ. ຢ່າງໃດກໍຕາມ, ຖ້າເຈົ້າພົບກໍລະນີທີ່ມັນບໍ່ໄດ້, ກະລຸນາຂຽນລາຍລະອຽດ
ໄປຫາບັນຊີລາຍຊື່ທາງໄປສະນີ rssh. ລາຍລະອຽດກ່ຽວກັບວິທີການປະກາດລາຍຊື່ທາງໄປສະນີສາມາດພົບໄດ້ທີ່
ຫນ້າທໍາອິດຂອງ rssh.

OpenSSH ສະບັບ ແລະ bypass rssh
ກ່ອນ OpenSSH 3.5, ssh(8) ໂດຍທົ່ວໄປແລ້ວຈະພະຍາຍາມແຍກໄຟລ໌ຢູ່ໃນເຮືອນຂອງຜູ້ໃຊ້
ໄດເລກະທໍລີ, ແລະອາດຈະພະຍາຍາມແລ່ນສະຄິບເລີ່ມຕົ້ນຈາກຜູ້ໃຊ້ $HOME/.ssh ລະບົບ.
rssh ບໍ່ໄດ້ໃຊ້ສະພາບແວດລ້ອມຂອງຜູ້ໃຊ້ໃນທາງໃດກໍ່ຕາມ. ຄໍາສັ່ງທີ່ກ່ຽວຂ້ອງແມ່ນ
ປະຕິບັດໂດຍການໂທຫາ execv(3) ກັບເສັ້ນທາງເຕັມໄປຫາຄໍາສັ່ງ, ຕາມທີ່ລະບຸໄວ້ໃນ compile
ເວລາ. ມັນບໍ່ໄດ້ຂຶ້ນກັບຕົວແປ PATH ຂອງຜູ້ໃຊ້, ຫຼືສະພາບແວດລ້ອມອື່ນໆ
ຕົວແປ.

ຢ່າງໃດກໍຕາມ, ມີບັນຫາຫຼາຍຢ່າງທີ່ສາມາດເກີດຂື້ນໄດ້. ນີ້ແມ່ນເນື່ອງມາຈາກວິທີການທັງຫມົດ
sshd ຂອງໂຄງການ OpenSSH ເຮັດວຽກ, ແລະບໍ່ແມ່ນຄວາມຜິດຂອງ rssh. ຕົວຢ່າງ, ຫນຶ່ງ
ບັນຫາທີ່ອາດຈະມີຢູ່ແມ່ນວ່າ, ອີງຕາມການ ssh(8) ຫນ້າຜູ້ຊາຍຈາກຢ່າງຫນ້ອຍບາງ
ການປ່ອຍ OpenSSH, ຄໍາສັ່ງທີ່ລະບຸໄວ້ໃນ $HOME/.ssh/rc ໄຟລ໌ຖືກປະຕິບັດດ້ວຍ
/ ຖັງ / sh ແທນທີ່ຈະເປັນ shell ທີ່ກໍານົດຂອງຜູ້ໃຊ້. ນີ້ປະກົດວ່າບໍ່ແມ່ນກໍລະນີກ່ຽວກັບ
ລະບົບທີ່ຜູ້ຂຽນມີໃຫ້ເພື່ອທົດສອບ; ຄໍາສັ່ງຖືກປະຕິບັດໂດຍຜູ້ໃຊ້
ແກະ​ທີ່​ຕັ້ງ​ຄ່າ (rssh), ເຊິ່ງບໍ່ອະນຸຍາດໃຫ້ປະຕິບັດ. ຢ່າງໃດກໍຕາມ, ຖ້າມັນເປັນຄວາມຈິງຂອງທ່ານ
ລະບົບ, ຫຼັງຈາກນັ້ນຜູ້ໃຊ້ທີ່ເປັນອັນຕະລາຍອາດຈະສາມາດຫລີກລ້ຽງໄດ້ rssh ໂດຍການອັບໂຫລດໄຟລ໌ໄປຫາ
$HOME/.ssh/rc ເຊິ່ງຈະຖືກປະຕິບັດໂດຍ / ຖັງ / sh ຢູ່ໃນລະບົບນັ້ນ. ຖ້າມີການປົດປ່ອຍໃດໆ (ຂອງ
OpenSSH) ແມ່ນ, ໃນຄວາມເປັນຈິງ, ມີຄວາມສ່ຽງຕໍ່ບັນຫານີ້, ຫຼັງຈາກນັ້ນມັນເປັນໄປໄດ້ຫຼາຍ
ລຸ້ນເກົ່າ, ລ້າສະໄຫມເທົ່ານັ້ນ. ຕາບໃດທີ່ເຈົ້າກໍາລັງໃຊ້ OpenSSH ເວີຊັນຫຼ້າສຸດ, ນີ້
ບໍ່ຄວນເປັນບັນຫາເທົ່າທີ່ຂ້ອຍສາມາດບອກໄດ້.

ຖ້າ sshd ຂອງທ່ານ is ມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີນີ້, ມີການແກ້ໄຂສໍາລັບບັນຫານີ້, ເຖິງແມ່ນວ່າ
ມັນເປັນການຈໍາກັດ pretty. ໄດ້ ຂອງຜູ້ໃຊ້ ບ້ານ ລະບົບ ຢ່າງແທ້ຈິງ ຕ້ອງ ບໍ່ be ຂຽນໄດ້ by
ໄດ້ ຜູ້ໃຊ້. ຖ້າມັນເປັນ, ຜູ້ໃຊ້ສາມາດໃຊ້ sftp ເພື່ອເອົາໄດເລກະທໍລີຫຼືປ່ຽນຊື່ມັນ, ແລະຫຼັງຈາກນັ້ນ
ສ້າງອັນໃໝ່, ແລະຕື່ມຂໍ້ມູນໃສ່ກັບໄຟລ໌ສະພາບແວດລ້ອມໃດກໍ່ຕາມທີ່ເຂົາເຈົ້າມັກ. ສໍາລັບການສະຫນອງ
ການອັບໂຫລດໄຟລ໌, ນີ້ຫມາຍຄວາມວ່າໄດເລກະທໍລີທີ່ຜູ້ໃຊ້ຂຽນໄດ້ຕ້ອງຖືກສ້າງຂຶ້ນສໍາລັບພວກເຂົາ, ແລະພວກເຂົາຕ້ອງ
ຮັບຮູ້ເຖິງຄວາມບໍ່ສາມາດຂຽນໃສ່ໄດເລກະທໍລີເຮືອນຂອງເຂົາເຈົ້ານອກຈາກນີ້
ສະຖານທີ່.

ບັນຫາທີສອງແມ່ນວ່າຫຼັງຈາກການກວດສອບຜູ້ໃຊ້, sshd ຍັງອ່ານ
$HOME/.ssh/environment ເພື່ອໃຫ້ຜູ້ໃຊ້ສາມາດກໍານົດຕົວແປໃນສະພາບແວດລ້ອມຂອງພວກເຂົາ. ນີ້
ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ຫລີກລ້ຽງຢ່າງສົມບູນ rssh ດ້ວຍການຫມູນໃຊ້ທີ່ສະຫລາດຂອງສະພາບແວດລ້ອມດັ່ງກ່າວ
ຕົວແປເປັນ LD_LIBRARY_PATH or LD_PRELOAD ເພື່ອເຊື່ອມຕໍ່ rssh binary ກັບ arbitrary
ຫ້ອງສະໝຸດທີ່ແບ່ງປັນ. ເພື່ອປ້ອງກັນບໍ່ໃຫ້ບັນຫານີ້ກາຍເປັນບັນຫາ, ຕາມສະບັບ 0.9.3, ໂດຍ
Default rssh ໃນປັດຈຸບັນໄດ້ຖືກລວບລວມຢູ່ໃນສະຖິຕິ. ການເຮັດວຽກທີ່ຈໍາກັດທີ່ໄດ້ກ່າວມາຂ້າງເທິງຈະ
ເອົາຊະນະການໂຈມຕີແບບນີ້.

ເປັນຂອງ OpenSSH 3.5, ssh ໃນປັດຈຸບັນສະຫນັບສະຫນູນທາງເລືອກ PermitUserEnvironment ເຊິ່ງຕັ້ງເປັນ "ບໍ່"
ໂດຍຄ່າເລີ່ມຕົ້ນ. ທາງເລືອກນີ້ອະນຸຍາດໃຫ້ Shell ຈໍາກັດເຊັ່ນ: rssh ເພື່ອເຮັດວຽກຢ່າງຖືກຕ້ອງໂດຍບໍ່ມີການ
ຮຽກຮ້ອງໃຫ້ພວກເຂົາເຊື່ອມຕໍ່ແບບຄົງທີ່. ເປັນຂອງ rssh ເວີຊັ່ນ 1.0.1, script configure
ຄວນກວດພົບວ່າມີ OpenSSH 3.5, ແລະປິດການໃຊ້ງານຄ່າເລີ່ມຕົ້ນຂອງການລວບລວມແບບຄົງທີ່.

ໃຊ້ rssh ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net