Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de dwight :
- [03/01@19:20] GPG contre PGP
- [22/12@01:36] Test YellowDog 4.0
- [16/12@02:28] Test de la SuSE 9.2
- [20/10@21:36] Test de la Mandrake Move 2
- [07/10@22:22] Test de KDE 3.3
- [24/09@11:49] Test de la Mandrake 10.1 Community
- [08/09@17:21] Support technique LIDL (ny-tech)
- [26/08@23:20] IPv6 (tunnel et réseau interne)
- [18/08@16:50] Knoppix et LDAP
- [14/08@10:37] 2.6.8 dans les bacs
- [21/07@22:58] Test de libranet 2.8.1
- [12/07@09:28] Test Sourcemage 20040414
- [01/07@09:57] Pilotes nvidia 6106
- [30/06@13:16] Test de la Slackware 10.0
- [24/06@14:47] Configuration OpenVPN
- [22/06@23:27] Soft Raid et tracas
- [21/06@11:21] Test de la SuSE 9.1
- [15/06@09:30] Test de Gnome 2.6.1
- [16/03@16:43] Test de la Mandrake 10.0 Community
- [13/11@02:58] Test de la SuSE 9.0
http://frlinux.net/?section=securite&article=145(...)
> Lire le journal (11 commentaires, moyenne: 0,9).
version ? + isolation entre utilisateurs
c'est pas plutôt openssh-3.9p1 ? au lieu de 3.8...
tu te retrouves avec une arborescence :
bin dev etc home lib usr
Quels exécutables sont sélectionnés ? (un lien vers la liste ce sera bon...)
Y-a-t-il duplication de l'espace disque nécessaire ? Ce n'est pas par utilisateur qu'il faut recréer l'intégralité de l'environnement ? Tous les utilisateurs sont dans le même chroot ou sont-ils isolés les uns des autres ?
A te lire, j'ai l'impression que tout le monde se retrouve dans le même chroot et qu'il n'y a qu'une copie ? Si l'on souhaite isoler chaque utilisateur, cela amène à créer autant de chroot que d'utilisateurs... j'ai bon ?
Comment les binaires "copiés" (je prends cette hypothèse) sont-ils à tenir à jour ? (alerte de sécurité...)
-
[^]Re: version ? + isolation entre utilisateurs
Posté par Rin Jin (page perso, ) le 16/01/2005 à 12:15. (lien). Évalué à 2.Comment les binaires "copiés" (je prends cette hypothèse) sont-ils à tenir à jour ? (alerte de sécurité...)
C'est une question que je m'étais déjà posée, et je n'ai pas pu avoir de vrai réponse. J'imagine mal que se soit des liens (soft ou hard, peu importe) et je suppose donc que les fichiers sont copiés.
N'existerait-ils donc pas de paquets debian ( utilisant celle-ci je n'ai pas cherché pour d'autres distrib ) déposant les fichiers là où il faut, quitte à laisser toute la config à l'utilisateur?
Je ne pense pas que ce soit si difficile à faire.--
"On obtient plus de chose en étant poli et armé qu'en étant juste poli" Al Capone
Quelques corrections:
ligne 5:
"Vous pouvez donc prendrel le patch"
derniere ligne:
"également très pratique vous pouvoir utiliser sftp"
Une autre solution pour la restriction/surveillance de comptes ssh passe par l'utilisation de shells restreints comme:
http://foosh.sourceforge.net/(...)
ou
http://www.pizzashack.org/rssh/(...)
pour le scp et sftp
-
[+] [^]Re: Quelques corrections:
Posté par Mickaël Menu (page perso, ) le 16/01/2005 à 07:54. (lien). Évalué à -8.Tout bon rédacteurs doit prendre la peine de relire ses articles, c'est pas respect pour ses lecteurs et permet d'éviter beaucoup de ce genre de coquilles
--
Mickaël Menu - http://m3nu.info/-
[^]Re: Quelques corrections:
Posté par Pascal Terjan (Jabber id, page perso, ) le 16/01/2005 à 09:18. (lien). Évalué à 0.s/rédacteurs/rédacteur/
s/pas/par/-
[+] [^]Re: Quelques corrections:
Posté par Mickaël Menu (page perso, ) le 16/01/2005 à 11:30. (lien). Évalué à -6.Ta raison, mais là, je ne relis pas, c'est pa sun article mais un commentaire,et j'ia pa sle tmeps de tous les relire :p
--
Mickaël Menu - http://m3nu.info/
-
-
Bien plus complet
http://www.hsc.fr/ressources/breves/chroot-openssh.html.fr(...)
Ca repondra aux questions laissées en suspend
-
[^]Re: Bien plus complet
Posté par baud123 (Jabber id, page perso, ) le 16/01/2005 à 21:25. (lien). Évalué à 2.mais pas toutes les questions :-( la doc' mériterait une mise à jour
ok pour l'isolation des utilisateurs, a priori duplication de jail (prison, chroot...)
Sinon cykl m'a indiqué en plus un outil pour debian permettant de ramener certains binaires choisis (évite de se trimballer plus de 1200 fichiers pour perl à ce que j'avais lu je ne sais plus où) :
http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-s(...)
Bonjour quand même les mises à jour du système sur alerte de sécurité s'il y a plusieurs chroot :-(
à voir s'il serait possible de monter un filesystem pour chaque chroot (ça ne ferait plus qu'une mise à jour) ?-
[^]Re: Bien plus complet
Posté par Yggdras () le 17/01/2005 à 13:24. (lien). Évalué à 1.Je pense qu'un mount -bind pourrait permettre d'eviter de dupliquer tous les fichiers.
Mais il doit falloir faire un mount -bind pour chaque repertoire (bin etc lib usr home), ce qui me parait beaucoup !
Ou alors, il suffit de mettre tous les chroot dans une meme partition, et utiliser la magie des liens durs :)
-
pour un shell à commandes restreintes
Pour limiter les commandes accessibles, dans ./ssh/authorized_keys il est possible d'utiliser la directive
command='ls -ailrt' [snip la clé publique de l'utilisateur]
Bon ça ne marche que pour une seule commande (donc utilisation sévèrement limitée... :-( )
Heureusement, il y a authprogs qui permet de configurer plusieurs commandes acceptées, je vous laisse lire
http://www.hackinglinuxexposed.com/articles/20030115.html(...)
et sa doc' (faut lire le code source :-) ) http://www.hackinglinuxexposed.com/tools/authprogs/(...)
=> ça amène à installer perl pour installer plus de sécurité (l'auteur s'excuse de ne pas l'avoir écrit en C) mais c'est bien utile...
En revanche, ça ne fonctionne bien que pour des commandes en SSH ; pour scp en SSH1 aussi, mais en SSH2 seule la ligne /usr/bin/sftp-server (je ne suis plus sûr du chemin) apparaît comme commande :-(
Clarifications
Bonsoir,
Désolé pour le retard dans les réponses, j'ai beaucoup de travail actuellement. Oui, il est vrai que je devrait relire, mais je manque un peu de temps.
Pour la version, non, on parle bien de 3.8.1p1 + patches, je suis resté sur la dernière version dispo dans sid (je ne parle pas d'experimental).
Il y a en effet une duplication de l'espace nécessaire, bien que si tu consultes le script qui crée le chroot, c'est relativement minime (principalement car je n'ai pas de gros besoins de binaires si ce n'est rsync et ssh pour mes utilisateurs).
Quant au makejail, je le note, très bon outil. Le script que j'ai pris prends moins de place (signalons qu'il ne copie que le strict nécessaire).
Merci à ceux qui m'ont lu.
Steph
Cette page a été générée par Templeet en 0.0731s (dont 0.0141 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.