Usuários Debian chroot
fr:Chrooter ses utilisateurs Debian
Este artigo foi traduzido por um sistema de tradu��o autom�tica. Voc� pode visualizar a fonte do artigo aqui.
Introduçã
Pode ser útil para chrai seus usuários a limitar a sua liberdade de movimento dentro de seu sistema.
Em um servidor de produção, certifique-se de executar essas operações durante horários de pico, para minimizar o impacto de suas
Pré-requi
Um do pré-requisito essencial é preservar seu sistema tão actualizada quanto poss�
apt-get update apt-get upgrade
Mantendo seu sistema Debian atualizado, verifique se que você tem uma lista de repositórios oficiais. Você pode encontrar uma lista de disponíveis em repositórios de Ikoula e instruções de instalação neste endereço.
Implementaç
Criar o chroot
Uma das maneiras de implementar uma prisão é criar um grupo cujos usuários aprisionados todos dependem.
- Criar grupo
groupadd chrootgrp
- Criar o nosso novo usuário
adduser -g chrootgrp notre_utilisateur
Criar os diretórios
Temos agora de implementar os diretórios home de nossa prisão chroot para simular a presença do diretório raiz /
- Criar todos os diretórios
# la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
mkdir -p /var/jail/{dev,etc,lib,usr,bin}
mkdir -p /var/jail/usr/bin
- Atribuir permissões para os diretórios cria para alterar o proprietário por root
chown root.root /var/jail
- Também criar o arquivo /dev/null
mknod -m 666 /var/jail/dev/null c 1 3
Arquivos de configuraç� /etc/
O arquivo de configuraçã /etc/ requer alguns arquivos vitais para funcionar corretamente, então vamos copiá-los para a nossa prisão.
- Copiar arquivos de configuração para a prisão
# Se déplacer dans le dossier /etc/ de la prison cd /var/jail/etc # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/) cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts .
Determinar os comandos
Agora temos de determinar os comandos que serão acessíveis ao nosso usuário, por exemplo o comando ls, gato e bash.
- Para isto, nós deve copiar os arquivos executáveis em nossa
# Se déplacer dans le dossier /usr/bin de la prison cd /var/jail/usr/bin # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin) cp /usr/bin/ls . cp /usr/bin/cat . cp /usr/bin/bash .
- Não se esqueça de adicionar as bibliotecas compartilhadas para executáve
# on cherche les bibliothèques de ls grâce à la commande ldd
ldd /bin/ls
# La commande retourne un résultat similaire:
linux-gate.so.1 => (0xb7f2b000)
librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
/lib/ld-linux.so.2 (0xb7f2c000)
libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)
Configurar o serviço SS
Agora que nossa prisão é lugar devemos configurar o serviço de SSH para redirecionar o nosso grupo de usuário chroot para sua nova localização segura.
- Editar o ssh o arquivo de configuraç
vi /etc/ssh/sshd_config
- Adicione o seguinte conteúdo no final do a
# Ajout du groupe chroot
Match group chrootgrp
ChrootDirectory /var/jail/
X11Forwarding no
AllowTcpForwarding no
- Reinicie o serviço de ss
/etc/init.d/ssh restart
Essa configuração também desativa o redirecionamento X11 e redirecionamento de portas TCP. Em alguns casos, incluindo o estabelecimento de um túnel seguro, pode ser necessário revisar a configuração e remover esta proibição.
Opç�: Alterar o prompt
Esta etapa é opcional, se você testar a conexão para a sua prisão que partir por um prompt semelhante a este :
bash-2-5$
Se você quiser usar um prompt menos geral simplesmente para executar o procedimento a seguir:
# copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur cp /etc/skel/* /var/jail/home/notre_utilisateur/ # Vous avez à présent quelque chose comme ceci notre_utilisateur:->
Ativar a atualização automática de comentários