Użytkownicy Debiana chroot
Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.
Wprowadzenie
To może być przydatne do chroot jego użytkownicy ograniczyć ich swobodnego przepływu w ramach systemu.
Na serwerze produkcyjnym należy koniecznie wykonać te operacje w godzinach poza szczytem, aby zminimalizować wpływ swoich działań.
Wymagania wstępne
Jednym z podstawowych warunkiem jest zachowanie jego system jak najbardziej aktualny.
apt-get update apt-get upgrade
Aktualizowanie systemu Debian, upewnij się, że masz listę oficjalnych repozytoriach. Można znaleźć listę dostępnych w Ikoula repozytoriów i instrukcje instalacji pod tym adresem.
Wdrożenie
Utworzyć ten Chroberz
Jednym z sposobów realizacji więzienie jest stworzenie grupy zależy od którego wszyscy użytkownicy uwięzionych.
- Utwórz grupę
groupadd chrootgrp
- Wierzyciel nasz nowy użytkownik
adduser -g chrootgrp notre_utilisateur
Tworzenie katalogów
Możemy teraz musi implementować katalogi z naszego więzienia chroot Aby symulować obecność katalogu /
- Tworzenie wszystkich katalogów
# la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
mkdir -p /var/jail/{dev,etc,lib,usr,bin}
mkdir -p /var/jail/usr/bin
- Przypisz uprawnienia do katalogów utworzyć, aby zmienić właściciela przez root
chown root.root /var/jail
- Również utworzyć plik /dev/null
mknod -m 666 /var/jail/dev/null c 1 3
Pliki konfiguracyjne /etc/
Plik konfiguracyjny /etc/ wymaga niektórych ważnych plików działa poprawnie, więc niech je skopiować do naszego więzienia.
- Skopiuj pliki konfiguracyjne do więzienia
# Se déplacer dans le dossier /etc/ de la prison cd /var/jail/etc # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/) cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts .
Określić polecenia
Teraz musimy określić polecenia, które będą dostępne dla naszych użytkowników, na przykład polecenia ls, kot i bash.
- Do tego możemy skopiować pliki wykonywalne do naszego więzienia
# Se déplacer dans le dossier /usr/bin de la prison cd /var/jail/usr/bin # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin) cp /usr/bin/ls . cp /usr/bin/cat . cp /usr/bin/bash .
- Nie zapomnij dodać biblioteki współdzielone dla plików wykonywalnych
# on cherche les bibliothèques de ls grâce à la commande ldd
ldd /bin/ls
# La commande retourne un résultat similaire:
linux-gate.so.1 => (0xb7f2b000)
librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
/lib/ld-linux.so.2 (0xb7f2c000)
libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)
Skonfiguruj usługę SSH
Teraz, że nasze więzienia jest w miejsce musimy skonfigurować usługę SSH przekierować naszej grupy użytkowników chroot do nowej lokalizacji zabezpieczone.
- Edytować ssh plik konfiguracyjny
vi /etc/ssh/sshd_config
- Dodaj następującą zawartość na końcu pliku
# Ajout du groupe chroot
Match group chrootgrp
ChrootDirectory /var/jail/
X11Forwarding no
AllowTcpForwarding no
- Odnawiać zapas towarów ssh usługi
/etc/init.d/ssh restart
Ta konfiguracja również wyłączenie przekierowania X 11 i przekierowania portów TCP. W niektórych przypadkach, łącznie z ustanowieniem tunelu bezpieczne może być konieczne przejrzeć konfigurację i usunąć ten zakaz.
Opcja : Zmienianie prompt
Ten krok jest opcjonalny, jeśli test połączenia do swojego więzienia od zewnątrz wierzyciel podobny do tego :
bash-2-5$
Jeśli chcesz używać pewien wierzyciel mniej ogólne wystarczy aby wykonać poniższą procedurę:
# copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur cp /etc/skel/* /var/jail/home/notre_utilisateur/ # Vous avez à présent quelque chose comme ceci notre_utilisateur:->
Włącz automatyczne odświeżanie komentarzy