Just to be clear, that's not going to stop a determined attacker running arbitrary commands via distccd. It will stop people accidentally logging in.<br><div><br></div><div>I think you wouldn't need a specific sshd in the chroot - perhaps a little wrapper under the name 'distccd' that moves into that chroot would be enough, or perhaps we could do something through the users' shell. It would be nice to document/script this.</div><br><div class="gmail_quote">On Sun Nov 30 2014 at 1:03:12 PM Sebastian Wieseler <<a href="mailto:sebastian@nanofortnight.org">sebastian@nanofortnight.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hey Martin!<br>
<br>
On Mon, Nov 17, 2014 at 06:51:47PM +0000, Martin Pool wrote:<br>
> I don't recall the exact command, but it's probably going to be `distccd<br>
> --inet ...something...`. You might be able to see it in the distcc verbose<br>
> log.<br>
<br>
This really helped. :-)<br>
my .ssh/authorized_keys file looks now like:<br>
from="xxx.xxx.xxx.xxx",no-<u></u>agent-forwarding,no-port-<u></u>forwarding,no-X11-forwarding,<u></u>no-pty,command="distccd --inetd" ssh-rsa …<br>
<br>
This works totally fine for me.<br>
<br>
The problem with a chroot would be, that you would need then a sshd in that chroot as well?<br>
To just encrypt the traffic and have some kind of authentication, a normal sshd should do the job as well.<br>
And since the distcc remote user can only execute "distccd --inetd" it should be ok :)<br>
<br>
Thank you very much again!<br>
Regards, Sebastian<br>
<br>
<br>
--<br>
  ,= ,-_-. =.           /"\<br>
 ((_/)o o(\_))          \ /    ASCII Ribbon Campaign<br>
  `-'(. .)`-'   &&       X      against HTML e-mail<br>
      \_/               / \<br>
<br>
<br>
</blockquote></div>