Пользователи Debian chroot

en:Chroot Debian users ja:Chroot Debian ユーザ ar:مستخدمي ديبيان استجذار zh:Chroot Debian 用户 fr:Chrooter ses utilisateurs Debian

Эта статья является результатом автоматического перевода, выполняемого программного обеспечения. Вы можете посмотреть исходный статьи здесь.

Введение

Это может быть полезно chroot своих пользователей, чтобы ограничить их свободу передвижения в рамках своей системы.

Предпосылки

Одним из важным условием является сохранение ее системы как современные, как можно скорее.

 apt-get update
 apt-get upgrade 

Поддержание вашей системы Debian современных, убедитесь, что у вас есть список официальных репозиториев. Вы можете найти список доступных репозиториев Ikoula и инструкции по установке на этот адрес.

Осуществление

Создайте chroot

Один из способов реализации тюрьма является создание группы пользователей которой всех заключенных зависят.

Создание группы

 groupadd chrootgrp 

Создание нашего нового пользователя

 adduser -g chrootgrp notre_utilisateur 

Создайте каталоги

Мы должны теперь выполнить домашние каталоги нашей тюрьмы chroot для имитации присутствия в корневом каталоге /

Создайте все каталоги

 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin

Назначить разрешения для каталогов создать для того, чтобы изменить владельца, root

 chown root.root /var/jail 

Также создать файл /dev/null

 mknod -m 666 /var/jail/dev/null c 1 3 

Файлы конфигурации /etc/

Файл конфигурации /etc/ требует некоторых жизненно важных файлов корректно работать, так что давайте скопировать их в нашей тюрьме.

Копирование файлов конфигурации в тюрьму

 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Определить команды

Теперь мы должны определить команды, которые будут доступны для наших пользователей, например команды ls, кошка и bash.

Для этого, мы должны скопировать исполняемые файлы в нашей тюрьме

 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .

Не забудьте добавить разделяемые библиотеки для исполняемых файлов

 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

Настройте службу SSH

Теперь, когда наша тюрьма находится в месте нам необходимо настроить службу SSH, чтобы перенаправить нашу группу пользователей изолированной его новое место обеспечено.

Изменить ssh файл конфигурации

 vi /etc/ssh/sshd_config 

Добавьте следующее содержимое в конец файла

 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no

Перезапустите службы ssh

 /etc/init.d/ssh restart 

Эта конфигурация также отключает перенаправление X 11 и перенаправление портов TCP. В некоторых случаях, включая создание защищенного туннеля может потребоваться пересмотреть конфигурацию и удалить этот запрет.

Параметр : Изменить командную строку

Этот шаг является необязательным, если вы проверить подключение к вашей тюрьме вы от из строки, схожий с этим :

 bash-2-5$ 

Если вы хотите использовать подсказку меньше общего просто для выполнения следующей процедуры:

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->