Utenti Debian chroot

Da It Ikoula wiki.
Jump to navigation Jump to search
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

fr:Chrooter ses utilisateurs Debian en:Chroot Debian users es:Usuarios de Debian chroot pt:Usuários Debian chroot it:Utenti Debian chroot nl:Chroot Debian gebruikers de:Debian-Chroot-Benutzer zh:Chroot Debian 用户 ar:مستخدمي ديبيان استجذار ja:Chroot Debian ユーザ pl:Użytkownicy Debiana chroot ru:Пользователи Debian chroot ro:Utilizatorii Debian chroot he:משתמשי דביאן Chroot
Il presente articolo è stato tradotto tramite un software di traduzione automatica. È possibile visualizzare l'origine articolo qui.

fr:Chrooter ses utilisateurs Debian he:משתמשי דביאן Chroot ru:Пользователи Debian chroot ja:Chroot Debian ユーザ ar:مستخدمي ديبيان استجذار zh:Chroot Debian 用户 ro:Utilizatorii Debian chroot pl:Użytkownicy Debiana chroot de:Debian-Chroot-Benutzer nl:Chroot Debian gebruikers it:Utenti Debian chroot pt:Usuários Debian chroot es:Usuarios de Debian chroot en:Chroot Debian users

Introduzione

Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.

Avertissement: Avant toute modification de votre système prévoyez toujours une backup de vos fichiers en cas de mauvaise manipulation.
Sur un Server de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.

Prerequisiti

Uno dei prerequisiti essenziali è quello di mantenere il sistema il più aggiornate possibile.

 apt-get update
 apt-get upgrade

Al fine di mantenere il sistema aggiornato, assicurarsi che avete una lista dei repository ufficiali. Troverete un elenco dei repository disponibili alle istruzioni di installazione e Ikoula.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].

Attuazione

Creare il chroot

Uno dei modi per impostare una prigione è quello di creare un gruppo che dipendono da tutti gli utenti imprigionati.

Creare il gruppo
 groupadd chrootgrp
Creare il nostro nuovo utente
 adduser -g chrootgrp notre_utilisateur

Creare directory

Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /

Creare tutte le directory
 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin
Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
 chown root.root /var/jail
Anche creare il file /dev/null
 mknod -m 666 /var/jail/dev/null c 1 3

File di configurazione /etc/

Il file di configurazione /etc/ richiede alcuni file vitali per poter funzionare correttamente, quindi li copiamo la nostra prigione.

Copiare i file di configurazione al carcere
 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Determinare i comandi disponibili

Ora dobbiamo determinare i comandi che saranno disponibili al nostro utente, ad esempio il comando ls, gatto e bash.

Abbiamo bisogno di copiare i file eseguibili per nostra prigione
 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .
Non dimenticate di aggiungere le librerie condivise per i file eseguibili
 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

Configurare il servizio SSH

Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.

Modificare il ssh file di configurazione
 vi /etc/ssh/sshd_config
Aggiungere il contenuto seguente alla fine del file
 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no
Riavviare il servizio ssh
 /etc/init.d/ssh restart

Questa configurazione consente di disattivare anche il reindirizzamento X11 e il TCP port forwarding. In alcuni casi, compresa la realizzazione di un tunnel protetto, può essere necessario rivedere la configurazione e rimuovere il divieto.

Opzione: Modificare il prompt

Questo passaggio è facoltativo, che se si verifica la connessione alla tua prigione avete l'avviso un prompt simile a questo: 

 bash-2-5$

Se si desidera utilizzare un prompt dei comandi meno generali semplicemente per eseguire la procedura seguente: 

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->



Non si dispone dei permessi necessari per inviare commenti.

Estratto da "https://it-wiki.ikoula.com/index.php?title=Utenti_Debian_chroot&oldid=10603"