Chroot Debian gebruikers: verschil tussen versies
Jump to navigation
Jump to search
| (16 tussenliggende versies door een andere gebruiker niet weergegeven) | |||
| Regel 1: | Regel 1: | ||
| − | <span data-link_translate_fr_title="Chrooter ses utilisateurs Debian" data-link_translate_fr_url=" | + | <span data-link_translate_fr_title="Chrooter ses utilisateurs Debian" data-link_translate_fr_url="Chrooter ses utilisateurs Debian"></span>[[:fr:Chrooter ses utilisateurs Debian]][[fr:Chrooter ses utilisateurs Debian]] |
| − | <br /> | + | <span data-link_translate_en_title="Chroot Debian users" data-link_translate_en_url="Chroot Debian users"></span>[[:en:Chroot Debian users]][[en:Chroot Debian users]] |
| + | <span data-link_translate_es_title="Usuarios de Debian chroot" data-link_translate_es_url="Usuarios de Debian chroot"></span>[[:es:Usuarios de Debian chroot]][[es:Usuarios de Debian chroot]] | ||
| + | <span data-link_translate_pt_title="Usuários Debian chroot" data-link_translate_pt_url="Usuários Debian chroot"></span>[[:pt:Usuários Debian chroot]][[pt:Usuários Debian chroot]] | ||
| + | <span data-link_translate_it_title="Utenti Debian chroot" data-link_translate_it_url="Utenti Debian chroot"></span>[[:it:Utenti Debian chroot]][[it:Utenti Debian chroot]] | ||
| + | <span data-link_translate_nl_title="Chroot Debian gebruikers" data-link_translate_nl_url="Chroot Debian gebruikers"></span>[[:nl:Chroot Debian gebruikers]][[nl:Chroot Debian gebruikers]] | ||
| + | <span data-link_translate_de_title="Debian-Chroot-Benutzer" data-link_translate_de_url="Debian-Chroot-Benutzer"></span>[[:de:Debian-Chroot-Benutzer]][[de:Debian-Chroot-Benutzer]] | ||
| + | <span data-link_translate_zh_title="Chroot Debian 用户" data-link_translate_zh_url="Chroot Debian 用户"></span>[[:zh:Chroot Debian 用户]][[zh:Chroot Debian 用户]] | ||
| + | <span data-link_translate_ar_title="مستخدمي ديبيان استجذار" data-link_translate_ar_url="مستخدمي ديبيان استجذار"></span>[[:ar:مستخدمي ديبيان استجذار]][[ar:مستخدمي ديبيان استجذار]] | ||
| + | <span data-link_translate_ja_title="Chroot Debian ユーザ" data-link_translate_ja_url="Chroot Debian ユーザ"></span>[[:ja:Chroot Debian ユーザ]][[ja:Chroot Debian ユーザ]] | ||
| + | <span data-link_translate_pl_title="Użytkownicy Debiana chroot" data-link_translate_pl_url="Użytkownicy Debiana chroot"></span>[[:pl:Użytkownicy Debiana chroot]][[pl:Użytkownicy Debiana chroot]] | ||
| + | <span data-link_translate_ru_title="Пользователи Debian chroot" data-link_translate_ru_url="Пользователи Debian chroot"></span>[[:ru:Пользователи Debian chroot]][[ru:Пользователи Debian chroot]] | ||
| + | <span data-link_translate_ro_title="Utilizatorii Debian chroot" data-link_translate_ro_url="Utilizatorii Debian chroot"></span>[[:ro:Utilizatorii Debian chroot]][[ro:Utilizatorii Debian chroot]] | ||
| + | <span data-link_translate_he_title="משתמשי דביאן Chroot" data-link_translate_he_url="משתמשי דביאן Chroot"></span>[[:he:משתמשי דביאן Chroot]][[he:משתמשי דביאן Chroot]] | ||
| + | <br />Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron [[:fr:Chrooter ses utilisateurs Debian|hier]] te bekijken.<br /><span data-translate="fr"></span><br /> | ||
| + | <span data-link_translate_fr_title="Chrooter ses utilisateurs Debian" data-link_translate_fr_url="Chrooter ses utilisateurs Debian"></span>[[:fr:Chrooter ses utilisateurs Debian]][[fr:Chrooter ses utilisateurs Debian]] | ||
| + | <span data-link_translate_he_title="משתמשי דביאן Chroot" data-link_translate_he_url="%D7%9E%D7%A9%D7%AA%D7%9E%D7%A9%D7%99+%D7%93%D7%91%D7%99%D7%90%D7%9F+Chroot"></span>[[:he:משתמשי דביאן Chroot]][[he:משתמשי דביאן Chroot]] | ||
| + | <span data-link_translate_ru_title="Пользователи Debian chroot" data-link_translate_ru_url="%D0%9F%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B8+Debian+chroot"></span>[[:ru:Пользователи Debian chroot]][[ru:Пользователи Debian chroot]] | ||
| + | <span data-link_translate_ja_title="Chroot Debian ユーザ" data-link_translate_ja_url="Chroot+Debian+%E3%83%A6%E3%83%BC%E3%82%B6"></span>[[:ja:Chroot Debian ユーザ]][[ja:Chroot Debian ユーザ]] | ||
| + | <span data-link_translate_ar_title="مستخدمي ديبيان استجذار" data-link_translate_ar_url="%D9%85%D8%B3%D8%AA%D8%AE%D8%AF%D9%85%D9%8A+%D8%AF%D9%8A%D8%A8%D9%8A%D8%A7%D9%86+%D8%A7%D8%B3%D8%AA%D8%AC%D8%B0%D8%A7%D8%B1"></span>[[:ar:مستخدمي ديبيان استجذار]][[ar:مستخدمي ديبيان استجذار]] | ||
| + | <span data-link_translate_zh_title="Chroot Debian 用户" data-link_translate_zh_url="Chroot+Debian+%E7%94%A8%E6%88%B7"></span>[[:zh:Chroot Debian 用户]][[zh:Chroot Debian 用户]] | ||
| + | <span data-link_translate_ro_title="Utilizatorii Debian chroot" data-link_translate_ro_url="Utilizatorii+Debian+chroot"></span>[[:ro:Utilizatorii Debian chroot]][[ro:Utilizatorii Debian chroot]] | ||
| + | <span data-link_translate_pl_title="Użytkownicy Debiana chroot" data-link_translate_pl_url="U%C5%BCytkownicy+Debiana+chroot"></span>[[:pl:Użytkownicy Debiana chroot]][[pl:Użytkownicy Debiana chroot]] | ||
| + | <span data-link_translate_de_title="Debian-Chroot-Benutzer" data-link_translate_de_url="Debian-Chroot-Benutzer"></span>[[:de:Debian-Chroot-Benutzer]][[de:Debian-Chroot-Benutzer]] | ||
| + | <span data-link_translate_nl_title="Chroot Debian gebruikers" data-link_translate_nl_url="Chroot+Debian+gebruikers"></span>[[:nl:Chroot Debian gebruikers]][[nl:Chroot Debian gebruikers]] | ||
| + | <span data-link_translate_it_title="Utenti Debian chroot" data-link_translate_it_url="Utenti+Debian+chroot"></span>[[:it:Utenti Debian chroot]][[it:Utenti Debian chroot]] | ||
| + | <span data-link_translate_pt_title="Usuários Debian chroot" data-link_translate_pt_url="Usu%C3%A1rios+Debian+chroot"></span>[[:pt:Usuários Debian chroot]][[pt:Usuários Debian chroot]] | ||
| + | <span data-link_translate_es_title="Usuarios de Debian chroot" data-link_translate_es_url="Usuarios+de+Debian+chroot"></span>[[:es:Usuarios de Debian chroot]][[es:Usuarios de Debian chroot]] | ||
| + | <span data-link_translate_en_title="Chroot Debian users" data-link_translate_en_url="Chroot+Debian+users"></span>[[:en:Chroot Debian users]][[en:Chroot Debian users]] | ||
| − | + | {{#seo: | |
| + | |title=Chroot Debian gebruikers | ||
| + | |title_mode=append | ||
| + | |keywords=these,are,your,keywords | ||
| + | |description=Chroot Debian gebruikers | ||
| + | |image=Uploaded_file.png | ||
| + | |image_alt=Wiki Logo | ||
| + | }} | ||
==Introductie== | ==Introductie== | ||
| − | + | Il peut être utile de '''chrooter''' ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.<br> | |
| − | <div style="background-color: #FF9999;"> ''' | + | <div style="background-color: #FF9999;"> '''Avertissement''': Avant toute modification de votre système prévoyez toujours une {{Template:Sauvegarde}} de vos fichiers en cas de mauvaise manipulation.<br> |
| − | + | Sur un {{Template:Serveur}} de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.</div> | |
| − | ==Vereisten == | + | ==Vereisten== |
| − | Een van de essentiële | + | Een van de essentiële voorwaarden is te zijn systeem zo up-to-date mogelijk te houden.<br> |
<pre> apt-get update | <pre> apt-get update | ||
apt-get upgrade </pre> | apt-get upgrade </pre> | ||
| − | + | Om uw systeem up-to-date te houden, zorg ervoor dat u een lijst van de officiële repositories. U vindt een lijst van de repositories beschikbaar op Ikoula en installatie-instructies.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]]. | |
| − | ==Uitvoering == | + | ==Uitvoering== |
| − | ===Maak de chroot === | + | ===Maak de chroot=== |
| − | Een van de manieren om een gevangenis is het creëren van een groep | + | Een van de manieren om het instellen van een gevangenis is het creëren van een groep die alle gevangen gebruikers afhankelijk zijn. |
| − | ; | + | ;De groep maken |
<pre> groupadd chrootgrp </pre> | <pre> groupadd chrootgrp </pre> | ||
;Onze nieuwe gebruiker aanmaken | ;Onze nieuwe gebruiker aanmaken | ||
<pre> adduser -g chrootgrp notre_utilisateur </pre> | <pre> adduser -g chrootgrp notre_utilisateur </pre> | ||
| − | === | + | ===Mappen maken=== |
| − | + | Nous devons maintenant mettre en place les répertoires de base de notre prison '''chroot''' afin de simuler la présence du répertoire racine / | |
| − | ; Alle mappen maken | + | ; Alle mappen maken |
<pre> # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande | <pre> # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande | ||
mkdir -p /var/jail/{dev,etc,lib,usr,bin} | mkdir -p /var/jail/{dev,etc,lib,usr,bin} | ||
mkdir -p /var/jail/usr/bin</pre> | mkdir -p /var/jail/usr/bin</pre> | ||
| − | ; | + | ;Assigner les permissions aux répertoires créer afin de changer le propriétaire par ''root'' |
<pre> chown root.root /var/jail </pre> | <pre> chown root.root /var/jail </pre> | ||
| − | ;Ook maken het bestand | + | ;Ook het maken van het bestand ''/dev/null'' |
<pre> mknod -m 666 /var/jail/dev/null c 1 3 </pre> | <pre> mknod -m 666 /var/jail/dev/null c 1 3 </pre> | ||
| − | ===Configuratiebestanden | + | ===Configuratiebestanden /etc/=== |
| − | Het configuratiebestand | + | Het configuratiebestand ''/etc/'' vereist een paar belangrijke bestanden om te functioneren, dus we hen naar onze gevangenis kopiëren zullen. |
| − | ; | + | ;Configuratiebestanden kopiëren naar de gevangenis |
<pre> # Se déplacer dans le dossier /etc/ de la prison | <pre> # Se déplacer dans le dossier /etc/ de la prison | ||
cd /var/jail/etc | cd /var/jail/etc | ||
| Regel 41: | Regel 75: | ||
cp /etc/hosts . | cp /etc/hosts . | ||
</pre> | </pre> | ||
| − | ===Bepalen de opdrachten === | + | ===Bepalen van de beschikbare opdrachten=== |
| − | We moeten nu | + | We moeten nu de opdrachten die beschikbaar voor onze gebruikers, bijvoorbeeld de commando ls, kat en bash zijn zal bepalen. |
| − | ; | + | ;We moeten de uitvoerbare bestanden kopiëren naar onze gevangenis |
<pre> # Se déplacer dans le dossier /usr/bin de la prison | <pre> # Se déplacer dans le dossier /usr/bin de la prison | ||
cd /var/jail/usr/bin | cd /var/jail/usr/bin | ||
| Regel 51: | Regel 85: | ||
cp /usr/bin/bash . | cp /usr/bin/bash . | ||
</pre> | </pre> | ||
| − | ;Vergeet niet om toe te voegen | + | ;Vergeet niet om toe te voegen voor uitvoerbare bestanden gedeelde bibliotheken |
<pre> # on cherche les bibliothèques de ls grâce à la commande ldd | <pre> # on cherche les bibliothèques de ls grâce à la commande ldd | ||
ldd /bin/ls | ldd /bin/ls | ||
| Regel 63: | Regel 97: | ||
libattr.so.1 => /lib/libattr.so.1 (0xb7db2000) | libattr.so.1 => /lib/libattr.so.1 (0xb7db2000) | ||
</pre> | </pre> | ||
| − | ===De SSH-service | + | ===De SSH-service configureren=== |
| − | + | Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe '''chrooté''' vers son nouvel emplacement sécurisé. | |
| − | ; | + | ;Bewerk de ssh configuratiebestand |
<pre> vi /etc/ssh/sshd_config </pre> | <pre> vi /etc/ssh/sshd_config </pre> | ||
| − | ; | + | ;De volgende inhoud toe te voegen aan het eind van het dossier |
<pre> # Ajout du groupe chroot | <pre> # Ajout du groupe chroot | ||
Match group chrootgrp | Match group chrootgrp | ||
| Regel 74: | Regel 108: | ||
AllowTcpForwarding no | AllowTcpForwarding no | ||
</pre> | </pre> | ||
| − | ; | + | ;Herstart de ssh-service |
<pre> /etc/init.d/ssh restart </pre> | <pre> /etc/init.d/ssh restart </pre> | ||
| − | Deze configuratie wordt ook uitgeschakeld voor de | + | Deze configuratie wordt ook uitgeschakeld voor de omleiding X11 en TCP port forwarding. In sommige gevallen, met inbegrip van de uitvoering van een beveiligde tunnel, wellicht de configuratie controleren en verwijderen van het verbod. |
| − | ===Optie: | + | ===Optie: Wijzigen van de opdrachtprompt=== |
| − | Deze stap is optioneel, als u de verbinding | + | Deze stap is optioneel, dat als u de verbinding om uw gevangenis testen hebt u de aankondiging een prompt gelijkend op dit: |
<pre> bash-2-5$ </pre> | <pre> bash-2-5$ </pre> | ||
Als u wilt een prompt minder algemeen gewoon voor het uitvoeren van de volgende procedure gebruiken: | Als u wilt een prompt minder algemeen gewoon voor het uitvoeren van de volgende procedure gebruiken: | ||
| Regel 90: | Regel 124: | ||
[[Category:Dedicated_server]] | [[Category:Dedicated_server]] | ||
[[Category:Linux]] | [[Category:Linux]] | ||
| − | |||
<br /> | <br /> | ||
<comments /> | <comments /> | ||
Huidige versie van 21 okt 2021 om 14:43
fr:Chrooter ses utilisateurs Debian
en:Chroot Debian users
es:Usuarios de Debian chroot
pt:Usuários Debian chroot
it:Utenti Debian chroot
nl:Chroot Debian gebruikers
de:Debian-Chroot-Benutzer
zh:Chroot Debian 用户
ar:مستخدمي ديبيان استجذار
ja:Chroot Debian ユーザ
pl:Użytkownicy Debiana chroot
ru:Пользователи Debian chroot
ro:Utilizatorii Debian chroot
he:משתמשי דביאן Chroot
Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.
fr:Chrooter ses utilisateurs Debian
he:משתמשי דביאן Chroot
ru:Пользователи Debian chroot
ja:Chroot Debian ユーザ
ar:مستخدمي ديبيان استجذار
zh:Chroot Debian 用户
ro:Utilizatorii Debian chroot
pl:Użytkownicy Debiana chroot
de:Debian-Chroot-Benutzer
nl:Chroot Debian gebruikers
it:Utenti Debian chroot
pt:Usuários Debian chroot
es:Usuarios de Debian chroot
en:Chroot Debian users
Introductie
Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.
Avertissement: Avant toute modification de votre système prévoyez toujours une back-up de vos fichiers en cas de mauvaise manipulation.
Sur un Server de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.
Sur un Server de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.
Vereisten
Een van de essentiële voorwaarden is te zijn systeem zo up-to-date mogelijk te houden.
apt-get update apt-get upgrade
Om uw systeem up-to-date te houden, zorg ervoor dat u een lijst van de officiële repositories. U vindt een lijst van de repositories beschikbaar op Ikoula en installatie-instructies.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].
Uitvoering
Maak de chroot
Een van de manieren om het instellen van een gevangenis is het creëren van een groep die alle gevangen gebruikers afhankelijk zijn.
- De groep maken
groupadd chrootgrp
- Onze nieuwe gebruiker aanmaken
adduser -g chrootgrp notre_utilisateur
Mappen maken
Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /
- Alle mappen maken
# la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
mkdir -p /var/jail/{dev,etc,lib,usr,bin}
mkdir -p /var/jail/usr/bin
- Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
chown root.root /var/jail
- Ook het maken van het bestand /dev/null
mknod -m 666 /var/jail/dev/null c 1 3
Configuratiebestanden /etc/
Het configuratiebestand /etc/ vereist een paar belangrijke bestanden om te functioneren, dus we hen naar onze gevangenis kopiëren zullen.
- Configuratiebestanden kopiëren naar de gevangenis
# Se déplacer dans le dossier /etc/ de la prison cd /var/jail/etc # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/) cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts .
Bepalen van de beschikbare opdrachten
We moeten nu de opdrachten die beschikbaar voor onze gebruikers, bijvoorbeeld de commando ls, kat en bash zijn zal bepalen.
- We moeten de uitvoerbare bestanden kopiëren naar onze gevangenis
# Se déplacer dans le dossier /usr/bin de la prison cd /var/jail/usr/bin # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin) cp /usr/bin/ls . cp /usr/bin/cat . cp /usr/bin/bash .
- Vergeet niet om toe te voegen voor uitvoerbare bestanden gedeelde bibliotheken
# on cherche les bibliothèques de ls grâce à la commande ldd
ldd /bin/ls
# La commande retourne un résultat similaire:
linux-gate.so.1 => (0xb7f2b000)
librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
/lib/ld-linux.so.2 (0xb7f2c000)
libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)
De SSH-service configureren
Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.
- Bewerk de ssh configuratiebestand
vi /etc/ssh/sshd_config
- De volgende inhoud toe te voegen aan het eind van het dossier
# Ajout du groupe chroot
Match group chrootgrp
ChrootDirectory /var/jail/
X11Forwarding no
AllowTcpForwarding no
- Herstart de ssh-service
/etc/init.d/ssh restart
Deze configuratie wordt ook uitgeschakeld voor de omleiding X11 en TCP port forwarding. In sommige gevallen, met inbegrip van de uitvoering van een beveiligde tunnel, wellicht de configuratie controleren en verwijderen van het verbod.
Optie: Wijzigen van de opdrachtprompt
Deze stap is optioneel, dat als u de verbinding om uw gevangenis testen hebt u de aankondiging een prompt gelijkend op dit:
bash-2-5$
Als u wilt een prompt minder algemeen gewoon voor het uitvoeren van de volgende procedure gebruiken:
# copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur cp /etc/skel/* /var/jail/home/notre_utilisateur/ # Vous avez à présent quelque chose comme ceci notre_utilisateur:->
Automatisch bijwerken van reacties inschakelen