Chroot Debian gebruikers

Uit Nl Ikoula wiki
Jump to navigation Jump to search

fr:Chrooter ses utilisateurs Debian en:Chroot Debian users es:Usuarios de Debian chroot pt:Usuários Debian chroot it:Utenti Debian chroot nl:Chroot Debian gebruikers de:Debian-Chroot-Benutzer zh:Chroot Debian 用户 ar:مستخدمي ديبيان استجذار ja:Chroot Debian ユーザ pl:Użytkownicy Debiana chroot ru:Пользователи Debian chroot ro:Utilizatorii Debian chroot he:משתמשי דביאן Chroot
Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.

fr:Chrooter ses utilisateurs Debian he:משתמשי דביאן Chroot ru:Пользователи Debian chroot ja:Chroot Debian ユーザ ar:مستخدمي ديبيان استجذار zh:Chroot Debian 用户 ro:Utilizatorii Debian chroot pl:Użytkownicy Debiana chroot de:Debian-Chroot-Benutzer nl:Chroot Debian gebruikers it:Utenti Debian chroot pt:Usuários Debian chroot es:Usuarios de Debian chroot en:Chroot Debian users

Introductie

Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.

Avertissement: Avant toute modification de votre système prévoyez toujours une back-up de vos fichiers en cas de mauvaise manipulation.
Sur un Server de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.

Vereisten

Een van de essentiële voorwaarden is te zijn systeem zo up-to-date mogelijk te houden.

 apt-get update
 apt-get upgrade

Om uw systeem up-to-date te houden, zorg ervoor dat u een lijst van de officiële repositories. U vindt een lijst van de repositories beschikbaar op Ikoula en installatie-instructies.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].

Uitvoering

Maak de chroot

Een van de manieren om het instellen van een gevangenis is het creëren van een groep die alle gevangen gebruikers afhankelijk zijn.

De groep maken
 groupadd chrootgrp
Onze nieuwe gebruiker aanmaken
 adduser -g chrootgrp notre_utilisateur

Mappen maken

Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /

Alle mappen maken
 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin
Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
 chown root.root /var/jail
Ook het maken van het bestand /dev/null
 mknod -m 666 /var/jail/dev/null c 1 3

Configuratiebestanden /etc/

Het configuratiebestand /etc/ vereist een paar belangrijke bestanden om te functioneren, dus we hen naar onze gevangenis kopiëren zullen.

Configuratiebestanden kopiëren naar de gevangenis
 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Bepalen van de beschikbare opdrachten

We moeten nu de opdrachten die beschikbaar voor onze gebruikers, bijvoorbeeld de commando ls, kat en bash zijn zal bepalen.

We moeten de uitvoerbare bestanden kopiëren naar onze gevangenis
 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .
Vergeet niet om toe te voegen voor uitvoerbare bestanden gedeelde bibliotheken
 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

De SSH-service configureren

Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.

Bewerk de ssh configuratiebestand
 vi /etc/ssh/sshd_config
De volgende inhoud toe te voegen aan het eind van het dossier
 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no
Herstart de ssh-service
 /etc/init.d/ssh restart

Deze configuratie wordt ook uitgeschakeld voor de omleiding X11 en TCP port forwarding. In sommige gevallen, met inbegrip van de uitvoering van een beveiligde tunnel, wellicht de configuratie controleren en verwijderen van het verbod.

Optie: Wijzigen van de opdrachtprompt

Deze stap is optioneel, dat als u de verbinding om uw gevangenis testen hebt u de aankondiging een prompt gelijkend op dit: 

 bash-2-5$

Als u wilt een prompt minder algemeen gewoon voor het uitvoeren van de volgende procedure gebruiken: 

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->



U mag niet reageren.

Overgenomen van "https://nl-wiki.ikoula.com/index.php?title=Chroot_Debian_gebruikers&oldid=12721"