Utenti Debian chroot

Da It Ikoula wiki.
Jump to navigation Jump to search

fr:Chrooter ses utilisateurs Debian en:Chroot Debian users es:Usuarios de Debian chroot pt:Usuários Debian chroot it:Utenti Debian chroot nl:Chroot Debian gebruikers de:Debian-Chroot-Benutzer zh:Chroot Debian 用户 ar:مستخدمي ديبيان استجذار ja:Chroot Debian ユーザ pl:Użytkownicy Debiana chroot ru:Пользователи Debian chroot ro:Utilizatorii Debian chroot he:משתמשי דביאן Chroot
Il presente articolo è stato tradotto tramite un software di traduzione automatica. È possibile visualizzare l'origine articolo qui.

fr:Chrooter ses utilisateurs Debian he:משתמשי דביאן Chroot ru:Пользователи Debian chroot ja:Chroot Debian ユーザ ar:مستخدمي ديبيان استجذار zh:Chroot Debian 用户 ro:Utilizatorii Debian chroot pl:Użytkownicy Debiana chroot de:Debian-Chroot-Benutzer nl:Chroot Debian gebruikers it:Utenti Debian chroot pt:Usuários Debian chroot es:Usuarios de Debian chroot en:Chroot Debian users

Introduzione

Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.

Avertissement: Avant toute modification de votre système prévoyez toujours une backup de vos fichiers en cas de mauvaise manipulation.
Sur un Server de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.

Prerequisiti

Uno dei prerequisiti essenziali è quello di mantenere il sistema il più aggiornate possibile.

 apt-get update
 apt-get upgrade

Al fine di mantenere il sistema aggiornato, assicurarsi che avete una lista dei repository ufficiali. Troverete un elenco dei repository disponibili alle istruzioni di installazione e Ikoula.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].

Attuazione

Creare il chroot

Uno dei modi per impostare una prigione è quello di creare un gruppo che dipendono da tutti gli utenti imprigionati.

Creare il gruppo
 groupadd chrootgrp
Creare il nostro nuovo utente
 adduser -g chrootgrp notre_utilisateur

Creare directory

Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /

Creare tutte le directory
 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin
Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
 chown root.root /var/jail
Anche creare il file /dev/null
 mknod -m 666 /var/jail/dev/null c 1 3

File di configurazione /etc/

Il file di configurazione /etc/ richiede alcuni file vitali per poter funzionare correttamente, quindi li copiamo la nostra prigione.

Copiare i file di configurazione al carcere
 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Determinare i comandi disponibili

Ora dobbiamo determinare i comandi che saranno disponibili al nostro utente, ad esempio il comando ls, gatto e bash.

Abbiamo bisogno di copiare i file eseguibili per nostra prigione
 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .
Non dimenticate di aggiungere le librerie condivise per i file eseguibili
 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

Configurare il servizio SSH

Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.

Modificare il ssh file di configurazione
 vi /etc/ssh/sshd_config
Aggiungere il contenuto seguente alla fine del file
 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no
Riavviare il servizio ssh
 /etc/init.d/ssh restart

Questa configurazione consente di disattivare anche il reindirizzamento X11 e il TCP port forwarding. In alcuni casi, compresa la realizzazione di un tunnel protetto, può essere necessario rivedere la configurazione e rimuovere il divieto.

Opzione: Modificare il prompt

Questo passaggio è facoltativo, che se si verifica la connessione alla tua prigione avete l'avviso un prompt simile a questo: 

 bash-2-5$

Se si desidera utilizzare un prompt dei comandi meno generali semplicemente per eseguire la procedura seguente: 

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->



Non si dispone dei permessi necessari per inviare commenti.

Estratto da "https://it-wiki.ikoula.com/index.php?title=Utenti_Debian_chroot&oldid=9086"