Diferenças entre edições de "Usuários Debian chroot"
| Linha 1: | Linha 1: | ||
| + | <br />Este artigo foi traduzido por um sistema de tradução automática. Você pode visualizar a fonte do artigo [[:fr:Chrooter ses utilisateurs Debian|aqui]].<br /><span data-translate="fr"></span><br /> | ||
<span data-link_translate_fr_title="Chrooter ses utilisateurs Debian" data-link_translate_fr_url="Chrooter ses utilisateurs Debian"></span>[[:fr:Chrooter ses utilisateurs Debian]][[fr:Chrooter ses utilisateurs Debian]] | <span data-link_translate_fr_title="Chrooter ses utilisateurs Debian" data-link_translate_fr_url="Chrooter ses utilisateurs Debian"></span>[[:fr:Chrooter ses utilisateurs Debian]][[fr:Chrooter ses utilisateurs Debian]] | ||
| − | |||
<span data-link_translate_he_title="משתמשי דביאן Chroot" data-link_translate_he_url="%D7%9E%D7%A9%D7%AA%D7%9E%D7%A9%D7%99+%D7%93%D7%91%D7%99%D7%90%D7%9F+Chroot"></span>[[:he:משתמשי דביאן Chroot]][[he:משתמשי דביאן Chroot]] | <span data-link_translate_he_title="משתמשי דביאן Chroot" data-link_translate_he_url="%D7%9E%D7%A9%D7%AA%D7%9E%D7%A9%D7%99+%D7%93%D7%91%D7%99%D7%90%D7%9F+Chroot"></span>[[:he:משתמשי דביאן Chroot]][[he:משתמשי דביאן Chroot]] | ||
<span data-link_translate_ru_title="Пользователи Debian chroot" data-link_translate_ru_url="%D0%9F%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B8+Debian+chroot"></span>[[:ru:Пользователи Debian chroot]][[ru:Пользователи Debian chroot]] | <span data-link_translate_ru_title="Пользователи Debian chroot" data-link_translate_ru_url="%D0%9F%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B8+Debian+chroot"></span>[[:ru:Пользователи Debian chroot]][[ru:Пользователи Debian chroot]] | ||
Revisão das 11h07min de 9 de fevereiro de 2017
Este artigo foi traduzido por um sistema de tradução automática. Você pode visualizar a fonte do artigo aqui.
fr:Chrooter ses utilisateurs Debian
he:משתמשי דביאן Chroot
ru:Пользователи Debian chroot
ja:Chroot Debian ユーザ
ar:مستخدمي ديبيان استجذار
zh:Chroot Debian 用户
ro:Utilizatorii Debian chroot
pl:Użytkownicy Debiana chroot
de:Debian-Chroot-Benutzer
nl:Chroot Debian gebruikers
it:Utenti Debian chroot
pt:Usuários Debian chroot
es:Usuarios de Debian chroot
en:Chroot Debian users
Introdução
Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.
Sur un Servidor de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.
Pré-requisitos
Um dos pré-requisitos essenciais é manter seu sistema tão actualizada quanto possível.
apt-get update apt-get upgrade
A fim de manter seu sistema atualizado, verifique se que você tem uma lista de repositórios oficiais. Você pode encontrar uma lista de repositórios disponíveis em Ikoula e instruções de instalação.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].
Implementação
Criar o chroot
Uma das maneiras de configurar uma prisão é criar um grupo que todos os usuários presos dependem.
- Criar grupo
groupadd chrootgrp
- Criar o novo usuário
adduser -g chrootgrp notre_utilisateur
Criar diretórios
Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /
- Criar todos os diretórios
# la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
mkdir -p /var/jail/{dev,etc,lib,usr,bin}
mkdir -p /var/jail/usr/bin
- Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
chown root.root /var/jail
- Também criar o arquivo. /dev/null
mknod -m 666 /var/jail/dev/null c 1 3
Arquivos de configuração /etc/
O arquivo de configuração /etc/ requer alguns arquivos vitais para funcionar corretamente, então nós irá copiá-los para nossa prisão.
- Copiar arquivos de configuração para a prisão
# Se déplacer dans le dossier /etc/ de la prison cd /var/jail/etc # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/) cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts .
Determinar os comandos disponíveis
Agora temos de determinar os que estarão disponíveis para o usuário, por exemplo o comando ls, gato, bash e comandos.
- Precisamos copiar os arquivos executáveis para nossa prisão
# Se déplacer dans le dossier /usr/bin de la prison cd /var/jail/usr/bin # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin) cp /usr/bin/ls . cp /usr/bin/cat . cp /usr/bin/bash .
- Não se esqueça de adicionar as bibliotecas compartilhadas para executáveis
# on cherche les bibliothèques de ls grâce à la commande ldd
ldd /bin/ls
# La commande retourne un résultat similaire:
linux-gate.so.1 => (0xb7f2b000)
librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
/lib/ld-linux.so.2 (0xb7f2c000)
libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)
Configurar o serviço SSH
Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.
- Editar o ssh o arquivo de configuração
vi /etc/ssh/sshd_config
- Adicione o seguinte conteúdo no final do arquivo
# Ajout du groupe chroot
Match group chrootgrp
ChrootDirectory /var/jail/
X11Forwarding no
AllowTcpForwarding no
- Reinicie o serviço de ssh
/etc/init.d/ssh restart
Essa configuração também desativa o redirecionamento X11 e o encaminhamento de porta TCP. Em alguns casos, incluindo a implementação de um túnel seguro, pode ser necessário rever a configuração e remover a proibição.
Opção: Alterar o prompt de comando
Esta etapa é opcional, que se você testar a conexão para a sua prisão tem o aviso de um prompt semelhante a este:
bash-2-5$
Se você quiser usar um prompt menos geral simplesmente para executar o procedimento a seguir:
# copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur cp /etc/skel/* /var/jail/home/notre_utilisateur/ # Vous avez à présent quelque chose comme ceci notre_utilisateur:->
Ativar a atualização automática de comentários