Пользователи Debian chroot

Материал из Ru Ikoula wiki
Jump to navigation Jump to search
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

fr:Chrooter ses utilisateurs Debian en:Chroot Debian users es:Usuarios de Debian chroot pt:Usuários Debian chroot it:Utenti Debian chroot nl:Chroot Debian gebruikers de:Debian-Chroot-Benutzer zh:Chroot Debian 用户 ar:مستخدمي ديبيان استجذار ja:Chroot Debian ユーザ pl:Użytkownicy Debiana chroot ru:Пользователи Debian chroot ro:Utilizatorii Debian chroot he:משתמשי דביאן Chroot
Эта статья является результатом автоматического перевода, выполняемого программного обеспечения. Вы можете посмотреть исходный статьи здесь.

fr:Chrooter ses utilisateurs Debian he:משתמשי דביאן Chroot ru:Пользователи Debian chroot ja:Chroot Debian ユーザ ar:مستخدمي ديبيان استجذار zh:Chroot Debian 用户 ro:Utilizatorii Debian chroot pl:Użytkownicy Debiana chroot de:Debian-Chroot-Benutzer nl:Chroot Debian gebruikers it:Utenti Debian chroot pt:Usuários Debian chroot es:Usuarios de Debian chroot en:Chroot Debian users

Введение

Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.

Avertissement: Avant toute modification de votre système prévoyez toujours une Резервное копирование de vos fichiers en cas de mauvaise manipulation.
Sur un Сервер de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.

Предварительные условия

Одной из необходимых предпосылок является обновлять свою систему.

 apt-get update
 apt-get upgrade

Для того, чтобы поддерживать вашу систему в актуальном состоянии, убедитесь, что у вас есть список официальных репозиториев. Вы можете найти список доступных репозиториев на Ikoula и инструкции по установке.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].

Реализация

Создание chroot

Один из способов создать тюрьма является создание группы, которые зависят от всех лишенных свободы пользователей.

Создание группы
 groupadd chrootgrp
Создание нашего нового пользователя
 adduser -g chrootgrp notre_utilisateur

Создание каталогов

Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /

Создайте все каталоги
 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin
Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
 chown root.root /var/jail
Создать файл /dev/null
 mknod -m 666 /var/jail/dev/null c 1 3

Конфигурационные файлы /etc/

Файл конфигурации /etc/ требуется несколько жизненно важных файлов для того, чтобы работать должным образом, поэтому мы будем копировать их в нашей тюрьме.

Копирование файлов конфигурации в тюрьму
 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Определите доступные команды

Теперь мы должны определить команды, которые будут доступны для наших пользователей, например команды ls, кошка и bash.

Нам нужно скопировать исполняемые файлы в нашей тюрьме
 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .
Не забывайте добавлять библиотеки, общие для исполняемых файлов
 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

Настройка службы SSH

Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.

Изменить ssh файл конфигурации
 vi /etc/ssh/sshd_config
Добавьте следующее содержимое в конце файла
 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no
Перезапустите ssh служба
 /etc/init.d/ssh restart

Эта конфигурация также отключает перенаправление X11 и перенаправление портов TCP. В некоторых случаях, включая осуществление защищенного туннеля возможно, необходимо пересмотреть конфигурацию и снять запрет.

Вариант: Изменение командной строки

Этот шаг является необязательным, если вы проверить подключение к вашей тюрьме у вас есть уведомление похожее на это приглашение: 

 bash-2-5$

Если вы хотите использовать запрос меньше общего просто для выполнения следующей процедуры: 

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->



Вы не можете оставлять комментарии.

Источник — https://ru-wiki.ikoula.com/index.php?title=Пользователи_Debian_chroot&oldid=9590