Chroot Debian gebruikers
fr:Chrooter ses utilisateurs Debian
en:Chroot Debian users
es:Usuarios de Debian chroot
pt:Usuários Debian chroot
it:Utenti Debian chroot
nl:Chroot Debian gebruikers
de:Debian-Chroot-Benutzer
zh:Chroot Debian 用户
ar:مستخدمي ديبيان استجذار
ja:Chroot Debian ユーザ
pl:Użytkownicy Debiana chroot
ru:Пользователи Debian chroot
ro:Utilizatorii Debian chroot
he:משתמשי דביאן Chroot
Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.
fr:Chrooter ses utilisateurs Debian
he:משתמשי דביאן Chroot
ru:Пользователи Debian chroot
ja:Chroot Debian ユーザ
ar:مستخدمي ديبيان استجذار
zh:Chroot Debian 用户
ro:Utilizatorii Debian chroot
pl:Użytkownicy Debiana chroot
de:Debian-Chroot-Benutzer
nl:Chroot Debian gebruikers
it:Utenti Debian chroot
pt:Usuários Debian chroot
es:Usuarios de Debian chroot
en:Chroot Debian users
Introductie
Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.
Sur un Server de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.
Vereisten
Een van de essentiële voorwaarden is te zijn systeem zo up-to-date mogelijk te houden.
apt-get update apt-get upgrade
Om uw systeem up-to-date te houden, zorg ervoor dat u een lijst van de officiële repositories. U vindt een lijst van de repositories beschikbaar op Ikoula en installatie-instructies.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].
Uitvoering
Maak de chroot
Een van de manieren om het instellen van een gevangenis is het creëren van een groep die alle gevangen gebruikers afhankelijk zijn.
- De groep maken
groupadd chrootgrp
- Onze nieuwe gebruiker aanmaken
adduser -g chrootgrp notre_utilisateur
Mappen maken
Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /
- Alle mappen maken
# la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande mkdir -p /var/jail/{dev,etc,lib,usr,bin} mkdir -p /var/jail/usr/bin
- Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
chown root.root /var/jail
- Ook het maken van het bestand /dev/null
mknod -m 666 /var/jail/dev/null c 1 3
Configuratiebestanden /etc/
Het configuratiebestand /etc/ vereist een paar belangrijke bestanden om te functioneren, dus we hen naar onze gevangenis kopiëren zullen.
- Configuratiebestanden kopiëren naar de gevangenis
# Se déplacer dans le dossier /etc/ de la prison cd /var/jail/etc # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/) cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts .
Bepalen van de beschikbare opdrachten
We moeten nu de opdrachten die beschikbaar voor onze gebruikers, bijvoorbeeld de commando ls, kat en bash zijn zal bepalen.
- We moeten de uitvoerbare bestanden kopiëren naar onze gevangenis
# Se déplacer dans le dossier /usr/bin de la prison cd /var/jail/usr/bin # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin) cp /usr/bin/ls . cp /usr/bin/cat . cp /usr/bin/bash .
- Vergeet niet om toe te voegen voor uitvoerbare bestanden gedeelde bibliotheken
# on cherche les bibliothèques de ls grâce à la commande ldd ldd /bin/ls # La commande retourne un résultat similaire: linux-gate.so.1 => (0xb7f2b000) librt.so.1 => /lib/librt.so.1 (0xb7f1d000) libacl.so.1 => /lib/libacl.so.1 (0xb7f16000) libc.so.6 => /lib/libc.so.6 (0xb7dcf000) libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000) /lib/ld-linux.so.2 (0xb7f2c000) libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)
De SSH-service configureren
Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.
- Bewerk de ssh configuratiebestand
vi /etc/ssh/sshd_config
- De volgende inhoud toe te voegen aan het eind van het dossier
# Ajout du groupe chroot Match group chrootgrp ChrootDirectory /var/jail/ X11Forwarding no AllowTcpForwarding no
- Herstart de ssh-service
/etc/init.d/ssh restart
Deze configuratie wordt ook uitgeschakeld voor de omleiding X11 en TCP port forwarding. In sommige gevallen, met inbegrip van de uitvoering van een beveiligde tunnel, wellicht de configuratie controleren en verwijderen van het verbod.
Optie: Wijzigen van de opdrachtprompt
Deze stap is optioneel, dat als u de verbinding om uw gevangenis testen hebt u de aankondiging een prompt gelijkend op dit:
bash-2-5$
Als u wilt een prompt minder algemeen gewoon voor het uitvoeren van de volgende procedure gebruiken:
# copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur cp /etc/skel/* /var/jail/home/notre_utilisateur/ # Vous avez à présent quelque chose comme ceci notre_utilisateur:->
Automatisch bijwerken van reacties inschakelen