Mon petit journal, j'ai enfin trouvé le temps de rédiger cet article sur la prison SSH (chroot) et la possibilité d'allouer à vos utilisateurs SSH un espace virtuel de jeu convivial et restreind :)
http://frlinux.net/?section=securite&article=145(...)
Journal Prison SSH
16
jan.
2005
# version ? + isolation entre utilisateurs
Posté par BAud (site web personnel) . Évalué à 6.
tu te retrouves avec une arborescence :
bin dev etc home lib usr
Quels exécutables sont sélectionnés ? (un lien vers la liste ce sera bon...)
Y-a-t-il duplication de l'espace disque nécessaire ? Ce n'est pas par utilisateur qu'il faut recréer l'intégralité de l'environnement ? Tous les utilisateurs sont dans le même chroot ou sont-ils isolés les uns des autres ?
A te lire, j'ai l'impression que tout le monde se retrouve dans le même chroot et qu'il n'y a qu'une copie ? Si l'on souhaite isoler chaque utilisateur, cela amène à créer autant de chroot que d'utilisateurs... j'ai bon ?
Comment les binaires "copiés" (je prends cette hypothèse) sont-ils à tenir à jour ? (alerte de sécurité...)
[^] # Re: version ? + isolation entre utilisateurs
Posté par Rin Jin (site web personnel) . Évalué à 2.
C'est une question que je m'étais déjà posée, et je n'ai pas pu avoir de vrai réponse. J'imagine mal que se soit des liens (soft ou hard, peu importe) et je suppose donc que les fichiers sont copiés.
N'existerait-ils donc pas de paquets debian ( utilisant celle-ci je n'ai pas cherché pour d'autres distrib ) déposant les fichiers là où il faut, quitte à laisser toute la config à l'utilisateur?
Je ne pense pas que ce soit si difficile à faire.
# Quelques corrections:
Posté par Michel Pastor . Évalué à 4.
"Vous pouvez donc prendrel le patch"
derniere ligne:
"également très pratique vous pouvoir utiliser sftp"
Une autre solution pour la restriction/surveillance de comptes ssh passe par l'utilisation de shells restreints comme:
http://foosh.sourceforge.net/(...)
ou
http://www.pizzashack.org/rssh/(...)
pour le scp et sftp
[^] # Re: Quelques corrections:
Posté par Bloodshed . Évalué à -8.
[^] # Re: Quelques corrections:
Posté par Pascal Terjan (site web personnel) . Évalué à 0.
s/pas/par/
[^] # Re: Quelques corrections:
Posté par Bloodshed . Évalué à -6.
# Bien plus complet
Posté par ckyl . Évalué à 4.
Ca repondra aux questions laissées en suspend
[^] # Re: Bien plus complet
Posté par BAud (site web personnel) . Évalué à 2.
ok pour l'isolation des utilisateurs, a priori duplication de jail (prison, chroot...)
Sinon cykl m'a indiqué en plus un outil pour debian permettant de ramener certains binaires choisis (évite de se trimballer plus de 1200 fichiers pour perl à ce que j'avais lu je ne sais plus où) :
http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-s(...)
Bonjour quand même les mises à jour du système sur alerte de sécurité s'il y a plusieurs chroot :-(
à voir s'il serait possible de monter un filesystem pour chaque chroot (ça ne ferait plus qu'une mise à jour) ?
[^] # Re: Bien plus complet
Posté par Yggdras . Évalué à 1.
Mais il doit falloir faire un mount -bind pour chaque repertoire (bin etc lib usr home), ce qui me parait beaucoup !
Ou alors, il suffit de mettre tous les chroot dans une meme partition, et utiliser la magie des liens durs :)
# pour un shell à commandes restreintes
Posté par BAud (site web personnel) . Évalué à 4.
command='ls -ailrt' [snip la clé publique de l'utilisateur]
Bon ça ne marche que pour une seule commande (donc utilisation sévèrement limitée... :-( )
Heureusement, il y a authprogs qui permet de configurer plusieurs commandes acceptées, je vous laisse lire
http://www.hackinglinuxexposed.com/articles/20030115.html(...)
et sa doc' (faut lire le code source :-) ) http://www.hackinglinuxexposed.com/tools/authprogs/(...)
=> ça amène à installer perl pour installer plus de sécurité (l'auteur s'excuse de ne pas l'avoir écrit en C) mais c'est bien utile...
En revanche, ça ne fonctionne bien que pour des commandes en SSH ; pour scp en SSH1 aussi, mais en SSH2 seule la ligne /usr/bin/sftp-server (je ne suis plus sûr du chemin) apparaît comme commande :-(
# Clarifications
Posté par FRLinux (site web personnel) . Évalué à 1.
Désolé pour le retard dans les réponses, j'ai beaucoup de travail actuellement. Oui, il est vrai que je devrait relire, mais je manque un peu de temps.
Pour la version, non, on parle bien de 3.8.1p1 + patches, je suis resté sur la dernière version dispo dans sid (je ne parle pas d'experimental).
Il y a en effet une duplication de l'espace nécessaire, bien que si tu consultes le script qui crée le chroot, c'est relativement minime (principalement car je n'ai pas de gros besoins de binaires si ce n'est rsync et ssh pour mes utilisateurs).
Quant au makejail, je le note, très bon outil. Le script que j'ai pris prends moins de place (signalons qu'il ne copie que le strict nécessaire).
Merci à ceux qui m'ont lu.
Steph
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.