Chroot Debian gebruikers
fr:Chrooter ses utilisateurs Debian
Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.
Introductie
Het kan nuttig zijn t chwor haar gebruikers te beperken hun vrijheid van verkeer binnen haar systeem.
Op een productieserver, moet deze bewerkingen uitvoeren na kantooruren om te minimaliseren van de gevolgen van uw acties.
Vereisten
Een van de essentiële voorwaarde is voor het behoud van zijn systeem zo up-to-date m
apt-get update apt-get upgrade
Uw Debian systeem up-to-date houden, zorg ervoor dat u een lijst van de officiële repositories. U kunt een lijst van de beschikbare op Ikoula repositories en installatie-instructies vinden op dit adres.
Uitvoering
Maak de chroot
Een van de manieren om een gevangenis is het creëren van een groep waarvan alle gevangen gebruikers afhankelijk.
- Groep maken
groupadd chrootgrp
- Onze nieuwe gebruiker aanmaken
adduser -g chrootgrp notre_utilisateur
De mappen maken
We moeten nu uitvoeren de basismappen van onze gevangenis chroot om te simuleren van de aanwezigheid van de root d /
- Alle mappen maken
# la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
mkdir -p /var/jail/{dev,etc,lib,usr,bin}
mkdir -p /var/jail/usr/bin
- Wijs machtigingen voor de mappen maken om te veranderen van de eigenaar door root
chown root.root /var/jail
- Ook maken het bestand /dev/null
mknod -m 666 /var/jail/dev/null c 1 3
Configuratiebestanden /etc/
Het configuratiebestand /etc/ sommige vitale bestanden correct werken, dus laten we kopieert u ze naar onze gevangenis vereist.
- Kopieer configuratiebestanden naar de gevangenis
# Se déplacer dans le dossier /etc/ de la prison cd /var/jail/etc # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/) cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts .
Bepalen de opdrachten
We moeten nu bepalen de opdrachten die toegankelijk zijn voor onze gebruiker, bijvoorbeeld het commando ls, kat en bash zullen.
- Hiervoor moeten we de uitvoerbare bestanden kopiëren naar onz
# Se déplacer dans le dossier /usr/bin de la prison cd /var/jail/usr/bin # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin) cp /usr/bin/ls . cp /usr/bin/cat . cp /usr/bin/bash .
- Vergeet niet om toe te voegen de gedeelde bibliotheken voor uitvoerbare bes
# on cherche les bibliothèques de ls grâce à la commande ldd
ldd /bin/ls
# La commande retourne un résultat similaire:
linux-gate.so.1 => (0xb7f2b000)
librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
/lib/ld-linux.so.2 (0xb7f2c000)
libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)
De SSH-service configure
Nu dat onze gevangenis in plaats is moet we de SSH-service wilt omleiden van onze gebruikersgroep configureren ge-chro naar de nieuwe locatie beveiligd.
- Bewerken de ssh configuratiebestand
vi /etc/ssh/sshd_config
- Voeg de volgende inhoud toe aan het eind va
# Ajout du groupe chroot
Match group chrootgrp
ChrootDirectory /var/jail/
X11Forwarding no
AllowTcpForwarding no
- Start opnieuw de ssh serv
/etc/init.d/ssh restart
Deze configuratie wordt ook uitgeschakeld voor de omleidi11 en omleiding van TCP-poorten. In sommige gevallen, met inbegrip van de oprichting van een beveiligde tunnel, kan het nodig zijn om te bekijken de configuratie en verwijderen van dit verbod worden.
Optie: Wijzigt u de prom
Deze stap is optioneel, als u de verbinding testen om uw gevangenis u van buiten een prompt vergelijkbaar met dit :
bash-2-5$
Als u wilt een prompt minder algemeen gewoon voor het uitvoeren van de volgende procedure gebruiken:
# copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur cp /etc/skel/* /var/jail/home/notre_utilisateur/ # Vous avez à présent quelque chose comme ceci notre_utilisateur:->
Automatisch bijwerken van reacties inschakelen