Chroot Debian gebruikers: verschil tussen versies

en:Chroot Debian users fr:Chrooter ses utilisateurs Debian

Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.

Introductie

Het kan nuttig zijn t chwor haar gebruikers te beperken hun vrijheid van verkeer binnen haar systeem.

Vereisten

Een van de essentiële voorwaarde is voor het behoud van zijn systeem zo up-to-date m

 apt-get update
 apt-get upgrade 

Uw Debian systeem up-to-date houden, zorg ervoor dat u een lijst van de officiële repositories. U kunt een lijst van de beschikbare op Ikoula repositories en installatie-instructies vinden op dit adres.

Uitvoering

Maak de chroot

Een van de manieren om een gevangenis is het creëren van een groep waarvan alle gevangen gebruikers afhankelijk.

Groep maken

 groupadd chrootgrp 

Onze nieuwe gebruiker aanmaken

 adduser -g chrootgrp notre_utilisateur 

De mappen maken

We moeten nu uitvoeren de basismappen van onze gevangenis chroot om te simuleren van de aanwezigheid van de root d /

Alle mappen maken

 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin

Wijs machtigingen voor de mappen maken om te veranderen van de eigenaar door root

 chown root.root /var/jail 

Ook maken het bestand /dev/null

 mknod -m 666 /var/jail/dev/null c 1 3 

Configuratiebestanden /etc/

Het configuratiebestand /etc/ sommige vitale bestanden correct werken, dus laten we kopieert u ze naar onze gevangenis vereist.

Kopieer configuratiebestanden naar de gevangenis

 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Bepalen de opdrachten

We moeten nu bepalen de opdrachten die toegankelijk zijn voor onze gebruiker, bijvoorbeeld het commando ls, kat en bash zullen.

Hiervoor moeten we de uitvoerbare bestanden kopiëren naar onz

 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .

Vergeet niet om toe te voegen de gedeelde bibliotheken voor uitvoerbare bes

 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

De SSH-service configure

Nu dat onze gevangenis in plaats is moet we de SSH-service wilt omleiden van onze gebruikersgroep configureren ge-chro naar de nieuwe locatie beveiligd.

Bewerken de ssh configuratiebestand

 vi /etc/ssh/sshd_config 

Voeg de volgende inhoud toe aan het eind va

 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no

Start opnieuw de ssh serv

 /etc/init.d/ssh restart 

Deze configuratie wordt ook uitgeschakeld voor de omleidi11 en omleiding van TCP-poorten. In sommige gevallen, met inbegrip van de oprichting van een beveiligde tunnel, kan het nodig zijn om te bekijken de configuratie en verwijderen van dit verbod worden.

Optie: Wijzigt u de prom

Deze stap is optioneel, als u de verbinding testen om uw gevangenis u van buiten een prompt vergelijkbaar met dit :

 bash-2-5$ 

Als u wilt een prompt minder algemeen gewoon voor het uitvoeren van de volgende procedure gebruiken:

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->