Пользователи Debian chroot

Материал из Ru Ikoula wiki
Jump to navigation Jump to search

fr:Chrooter ses utilisateurs Debian en:Chroot Debian users es:Usuarios de Debian chroot pt:Usuários Debian chroot it:Utenti Debian chroot nl:Chroot Debian gebruikers de:Debian-Chroot-Benutzer zh:Chroot Debian 用户 ar:مستخدمي ديبيان استجذار ja:Chroot Debian ユーザ pl:Użytkownicy Debiana chroot ru:Пользователи Debian chroot ro:Utilizatorii Debian chroot he:משתמשי דביאן Chroot
Эта статья является результатом автоматического перевода, выполняемого программного обеспечения. Вы можете посмотреть исходный статьи здесь.

fr:Chrooter ses utilisateurs Debian he:משתמשי דביאן Chroot ru:Пользователи Debian chroot ja:Chroot Debian ユーザ ar:مستخدمي ديبيان استجذار zh:Chroot Debian 用户 ro:Utilizatorii Debian chroot pl:Użytkownicy Debiana chroot de:Debian-Chroot-Benutzer nl:Chroot Debian gebruikers it:Utenti Debian chroot pt:Usuários Debian chroot es:Usuarios de Debian chroot en:Chroot Debian users

Введение

Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.

Avertissement: Avant toute modification de votre système prévoyez toujours une Резервное копирование de vos fichiers en cas de mauvaise manipulation.
Sur un Сервер de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.

Предварительные условия

Одной из необходимых предпосылок является обновлять свою систему.

 apt-get update
 apt-get upgrade

Для того, чтобы поддерживать вашу систему в актуальном состоянии, убедитесь, что у вас есть список официальных репозиториев. Вы можете найти список доступных репозиториев на Ikoula и инструкции по установке.[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].

Реализация

Создание chroot

Один из способов создать тюрьма является создание группы, которые зависят от всех лишенных свободы пользователей.

Создание группы
 groupadd chrootgrp
Создание нашего нового пользователя
 adduser -g chrootgrp notre_utilisateur

Создание каталогов

Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /

Создайте все каталоги
 # la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
 mkdir -p /var/jail/{dev,etc,lib,usr,bin}
 mkdir -p /var/jail/usr/bin
Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
 chown root.root /var/jail
Создать файл /dev/null
 mknod -m 666 /var/jail/dev/null c 1 3

Конфигурационные файлы /etc/

Файл конфигурации /etc/ требуется несколько жизненно важных файлов для того, чтобы работать должным образом, поэтому мы будем копировать их в нашей тюрьме.

Копирование файлов конфигурации в тюрьму
 # Se déplacer dans le dossier /etc/ de la prison
 cd /var/jail/etc
 # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/)
 cp /etc/ld.so.cache .
 cp /etc/ld.so.conf .
 cp /etc/nsswitch.conf .
 cp /etc/hosts .

Определите доступные команды

Теперь мы должны определить команды, которые будут доступны для наших пользователей, например команды ls, кошка и bash.

Нам нужно скопировать исполняемые файлы в нашей тюрьме
 # Se déplacer dans le dossier /usr/bin de la prison
 cd /var/jail/usr/bin
 # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin)
 cp /usr/bin/ls .
 cp /usr/bin/cat .
 cp /usr/bin/bash .
Не забывайте добавлять библиотеки, общие для исполняемых файлов
 # on cherche les bibliothèques de ls grâce à la commande ldd
 ldd /bin/ls
 # La commande retourne un résultat similaire:
    linux-gate.so.1 =>    (0xb7f2b000)
    librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
    libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
    libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
    libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
    /lib/ld-linux.so.2 (0xb7f2c000)
    libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)

Настройка службы SSH

Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.

Изменить ssh файл конфигурации
 vi /etc/ssh/sshd_config
Добавьте следующее содержимое в конце файла
 # Ajout du groupe chroot
 Match group chrootgrp
          ChrootDirectory /var/jail/
          X11Forwarding no
          AllowTcpForwarding no
Перезапустите ssh служба
 /etc/init.d/ssh restart

Эта конфигурация также отключает перенаправление X11 и перенаправление портов TCP. В некоторых случаях, включая осуществление защищенного туннеля возможно, необходимо пересмотреть конфигурацию и снять запрет.

Вариант: Изменение командной строки

Этот шаг является необязательным, если вы проверить подключение к вашей тюрьме у вас есть уведомление похожее на это приглашение: 

 bash-2-5$

Если вы хотите использовать запрос меньше общего просто для выполнения следующей процедуры: 

 # copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur
 cp /etc/skel/* /var/jail/home/notre_utilisateur/

 # Vous avez à présent quelque chose comme ceci
 notre_utilisateur:->



Вы не можете оставлять комментарии.

Источник — https://ru-wiki.ikoula.com/index.php?title=Пользователи_Debian_chroot&oldid=9590