bonjour,
je souhaiterais chrooter un user qui servira a un dev a pousser sont code. j'ai trouvé quelques méthodes qui se ressemble plus ou moins seulement ce n'est pas encore complétement ce que je recherche. en gros je souhaiterais un chrootage un peux comme les environnement web des hébergeurs genre OVH. quand on s'y connecte en ssh on y voit qu'un répertoire appelé www dans lequel on peut y mettre sont code et c'est tout. On ne vois pas les répertoires genre bin/ et tout le tralala qui servent a l'environnement . j'ai cherché sur google mais je ne trouve rien qui d’équivalent.
Forum Linux.redhat chrooter un environnement web
6
juin
2011
# Emplacement par défaut ou chroot
Posté par Pierre Carrier . Évalué à 1.
Si tu veux que l'emplacement par défaut n'affiche que www, il "suffit" de définir le répertoire utilisateur (HOME) dans /etc/passwd pour indiquer un répertoire relatif à la racine du chroot et contenant uniquement www.
Si tu veux empêcher l'utilisateur de remonter dans la hiérarchie, tu te retrouves avec un chroot dans un répertoire qui ne contient pas de binaires. Dans ce cas un shell interactif ne sera pas utilisable (même pas de ls), et il faut utiliser sftp. Ce type de configuration est couvert par http://www.minstrel.org.uk/papers/sftp/builtin/
# SFTP simple ou restreindre les commandes autorisées
Posté par niol (site web personnel) . Évalué à 1.
Tout dépend de si tu veux autoriser l'exécution de commandes sur le serveur ou donner un simple accès SFTP :
- exécution de commandes : voir le fichier de configuration OpenSSH et ForceCommand pour restreindre. Il y a aussi des outils pour restreindre les commandes, du genre scponly ou rssh.
- SFTP simple : voir le fichier de configuration OpenSSH et ChrootDirectory pour changer la racine.
Je ne me suis jamais penché sur les méthodes de chroot qui impliquent de recopier les exécutables utiles dans le chroot, ça me paraissait trop difficile à maintenir (mise à jours, etc.).
Aucune idée de comme ça se passe chez OVH, mais l'accès que j'ai chez eux n'est pas chrooté.
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par menza . Évalué à 1.
alors en fait oui je souhaite malgres tout l'execution de commande genre ls, scp, rsync enfin quelques trucs quoi.
"Aucune idée de comme ça se passe chez OVH, mais l'accès que j'ai chez eux n'est pas chrooté."
mais dans ce cas comment font ils pour creer ce type d'environnement ? quand je me connecte avec mon user en ssh je ne vois qu'un repertoire "www" et "cgi-bin" rien de plus et je ne peux remonter plus haut que le home dans lequel je suis.
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par Pierre Carrier . Évalué à 1.
Une approche qui peut t'intéresser est l'utilisation du mode restreint de bash.
Voir RESTRICTED SHELL dans bash(1).
Pour l'utiliser comme shell de login, le plus simple est de créer un lien symbolique /bin/rbash pointant vers /bin/bash, l'autoriser dans /etc/shells et de définir /bin/rbash comme shell pour un utilisateur.
Attention, pas de cd du tout !
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par menza . Évalué à 0.
ba en fait non c'est pas trop ce que je recherche, faut que l'utilisateur puisse se balader dans sont home comme il veut. en fait je cherche a reproduire l'environnement type OVH. le type se connecte en ssh, il ne peut pas remonter plus haut que le répertoire ou il atterri lors de la connexion, il ne vois pas les répertoires d'environnement, il a accès a plusieurs commandes.
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par NeoX . Évalué à 2.
ce que tu cherche c'est un CHROOT via SSH
de memoire il fallait une version patchée de SSH puis definir le home de l'utilisateur avec un . dedans pour definir la racine du chroot.
ex : utilisateur toto
home=/home/./toto
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par menza . Évalué à -1.
peux tu developper stp ?
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par ze_lionix (site web personnel) . Évalué à -1.
Envoi login & mot de passe root on va s'occuper de faire la conf pour toi !
Fuse : j'en Use et Abuse !
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par menza . Évalué à -1.
intervention tres utile merci ze_lionix
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par niol (site web personnel) . Évalué à 3.
Ce patch est obsolète depuis l'option ChrootDirectory.
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par NeoX . Évalué à 2.
Merci à toi Niol,
du temps ou j'avais mis ca en place c'etait pas encore integré en natif dans ssh.
je vais regardé l'option ChrootDirectory sur les nouvelles versions.
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par niol (site web personnel) . Évalué à 1.
Chez OVH, que dit la commande pwd? Si c'est /home/user, c'est que tu n'es pas chrooté.
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par menza . Évalué à 0.
alors, si en fait je peux remonter d'un cran. pwd donne /homez.15/monuser . je peux remonter dans homez.15. d'ici si je fais un ls ca me met permission denied.
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par niol (site web personnel) . Évalué à 1.
Pareil que ce que j'ai. Donc ce n'est pas un chroot. C'est juste les droits d'accès sur les répertoires (pas de droit de lecture du répertoire mais droit d'exécution pour pouvoir atteindre les fichiers qui sont dedans, par exemple
/bin/ls. Ce s'obtient peut-être avec une truc du genre :(je n'ai pas testé du tout)
Cependant, ça n'est pas très simple à mettre en place, ni très maintenable (il ne faut rien oublier). Il doivent sûrement utiliser des patchs noyau qui permettent de mettre des permissions par défaut (style grsecurity).
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par ze_lionix (site web personnel) . Évalué à 0.
@MENZA :
Tu veux mettre une jail sur le fuc... user ! Très bonne idée !
Tu veux comme OVTRUC, on s'en tappe de qui fait comment ce qui compte c'est ton besoin : sécuriser !
On te dis "chroot" du ssh, on te redit "CHROOT" du ssh...
=> google : "chroot ssh"
En une heure à tout casser ce sera en place !
Si tu te prends pas une heure pour regarder comment faire ca sur ton serveur rend la dédibox en leur disant que tu es trop feignant pour le configurer.... et prend un hébergement mutualisé !
NB : Et au passage dans la veine sécurisation tu peux interdire les accès par login / mot de passe et n'authoriser que les authent par clé ( et interdit le RSA )
Fuse : j'en Use et Abuse !
[^] # Re: SFTP simple ou restreindre les commandes autorisées
Posté par menza . Évalué à 0.
ouai, je pense aussi que ca doit etre plus complique qu'un chrootage. je voulais juste paufiner le truc mais je crois que je vais rester sur le chrootage qui fonctionne tres bien en fait. en tout cas merci pour tes renseignements niol.
# aïe
Posté par steph1978 . Évalué à -1.
désolé mais ça pique trop les yeux, j'ai pas pu lire jusqu'au bout.
# R5
Posté par menza . Évalué à 0.
toujours a propos de mon chrootage. j'ai mis en place l'environnement chrooté pour un user,ca semble fonctionner correctement je peux faire des connexions ssh. depuis un ordi distant je veux copier des fichiers dans mon repertoire chrooté via rsync . quand je lance la commande ca me demande le mot de passe, je fais entré et ca reste comme ca sans rien faire. quelqu'un a t il une idee sur ce probleme ?
[^] # Re: R5
Posté par nono14 (site web personnel) . Évalué à 2.
strace ?
Système - Réseau - Sécurité Open Source
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.