Diferenças entre edições de "Usuários Debian chroot"

es:Usuarios de Debian chroot en:Chroot Debian users fr:Chrooter ses utilisateurs Debian

Este artigo foi traduzido por um sistema de tradu��o autom�tica. Voc� pode visualizar a fonte do artigo aqui.

Introduçã

Pode ser útil para chrai seus usuários a limitar a sua liberdade de movimento dentro de seu sistema.

Pré-requi

Um do pré-requisito essencial é preservar seu sistema tão actualizada quanto poss�

 apt-get update
 apt-get upgrade 

Mantendo seu sistema Debian atualizado, verifique se que você tem uma lista de repositórios oficiais. Você pode encontrar uma lista de disponíveis em repositórios de Ikoula e instruções de instalação neste endereço.

Implementaç

Criar o chroot

Uma das maneiras de implementar uma prisão é criar um grupo cujos usuários aprisionados todos dependem.

Criar grupo

 groupadd chrootgrp 

Criar o nosso novo usuário

 adduser -g chrootgrp notre_utilisateur 

Criar os diretórios

Temos agora de implementar os diretórios home de nossa prisão chroot para simular a presença do diretório raiz /

Criar todos os diretórios

 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin

Atribuir permissões para os diretórios cria para alterar o proprietário por root

 chown root.root /var/jail 

Também criar o arquivo /dev/null

 mknod -m 666 /var/jail/dev/null c 1 3 

Arquivos de configuraç� /etc/

O arquivo de configuraçã /etc/ requer alguns arquivos vitais para funcionar corretamente, então vamos copiá-los para a nossa prisão.

Copiar arquivos de configuração para a prisão

 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Determinar os comandos

Agora temos de determinar os comandos que serão acessíveis ao nosso usuário, por exemplo o comando ls, gato e bash.

Para isto, nós deve copiar os arquivos executáveis em nossa

 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .

Não se esqueça de adicionar as bibliotecas compartilhadas para executáve

 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

Configurar o serviço SS

Agora que nossa prisão é lugar devemos configurar o serviço de SSH para redirecionar o nosso grupo de usuário chroot para sua nova localização segura.

Editar o ssh o arquivo de configuraç

 vi /etc/ssh/sshd_config 

Adicione o seguinte conteúdo no final do a

 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no

Reinicie o serviço de ss

 /etc/init.d/ssh restart 

Essa configuração também desativa o redirecionamento X11 e redirecionamento de portas TCP. Em alguns casos, incluindo o estabelecimento de um túnel seguro, pode ser necessário revisar a configuração e remover esta proibição.

Opç�: Alterar o prompt

Esta etapa é opcional, se você testar a conexão para a sua prisão que partir por um prompt semelhante a este :

 bash-2-5$ 

Se você quiser usar um prompt menos geral simplesmente para executar o procedimento a seguir:

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->