Diferencia entre revisiones de «Usuarios de Debian chroot»

pt:Usuários Debian chroot en:Chroot Debian users fr:Chrooter ses utilisateurs Debian

Este art�culo ha sido traducido por un software de traducci�n autom�tica. Usted puede ver el origen art�culo aqu�.

Introducci�

Puede ser útil chra� sus usuarios para limitar su libertad de movimiento dentro de su sistema.

Requisitos

Uno de lo requisito previo esencial es preservar su sistema tan actualizada como sea

 apt-get update
 apt-get upgrade 

Mantener actualizado su sistema Debian, asegúrese de que tener una lista de los repositorios oficiales. Usted puede encontrar una lista de las disponibles en repositorios Ikoula e instrucciones de instalación en esta dirección.

Implementaci

Crear el chroot

Una de las maneras de implementar una cárcel es crear un grupo dependen de que todos los usuarios de encarcelados.

Crear grupo

 groupadd chrootgrp 

Crear nuestro nuevo usuario

 adduser -g chrootgrp notre_utilisateur 

Crear los directorios

Ahora debemos implementar los directorios de nuestra prisión chroot para simular la presencia de directorio raíz /

Crear todos los directorios

 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin

Asignar permisos a los directorios crean para cambiar el propietario de root

 chown root.root /var/jail 

También crear el archivo /dev/null

 mknod -m 666 /var/jail/dev/null c 1 3 

Ficheros de configuraci� /etc/

El archivo de configuraci� /etc/ requiere de unos archivos vitales para trabajar correctamente, así que vamos a copiarlos en nuestra prisión.

Copiar los archivos de configuración a la cárcel

 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Determinar los comandos

Ahora debemos determinar los comandos que se podrán acceder a nuestro usuario, por ejemplo el comando ls, cat y bash.

Para esto, debemos copiar los ejecutables en nuestra prisión

 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .

No olvide agregar las bibliotecas compartidas para ejecutables

 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

Configurar el servicio S

Ahora que la prisión está en su lugar debemos configurar el servicio SSH para redirigir nuestro grupo usuario chroot a su nueva ubicación asegurada.

Editar el ssh archivo de configuraci�

 vi /etc/ssh/sshd_config 

Añadir el siguiente contenido en el final

 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no

Reiniciar el servicio ssh

 /etc/init.d/ssh restart 

Esta configuración también deshabilita la redirección 11 y la redirección de puertos TCP. En algunos casos, incluido el establecimiento de un túnel seguro, puede ser necesario revisar la configuración y eliminar esta prohibición.

Opci�: Cambiar el símbo

Este paso es opcional, si usted prueba la conexión a su prisión de hacia fuera-un mensaje similar a éste :

 bash-2-5$ 

Si desea utilizar un indicador menos general simplemente para llevar a cabo el siguiente procedimiento:

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->