Différences entre versions de « Chrooter ses utilisateurs Debian »
| (9 versions intermédiaires par 4 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
| + | <span data-link_translate_fr_title="Chrooter ses utilisateurs Debian" data-link_translate_fr_url="Chrooter ses utilisateurs Debian"></span>[[:fr:Chrooter ses utilisateurs Debian]][[fr:Chrooter ses utilisateurs Debian]] | ||
| + | <span data-link_translate_he_title="משתמשי דביאן Chroot" data-link_translate_he_url="%D7%9E%D7%A9%D7%AA%D7%9E%D7%A9%D7%99+%D7%93%D7%91%D7%99%D7%90%D7%9F+Chroot"></span>[[:he:משתמשי דביאן Chroot]][[he:משתמשי דביאן Chroot]] | ||
| + | <span data-link_translate_ru_title="Пользователи Debian chroot" data-link_translate_ru_url="%D0%9F%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B8+Debian+chroot"></span>[[:ru:Пользователи Debian chroot]][[ru:Пользователи Debian chroot]] | ||
<span data-link_translate_ja_title="Chroot Debian ユーザ" data-link_translate_ja_url="Chroot+Debian+%E3%83%A6%E3%83%BC%E3%82%B6"></span>[[:ja:Chroot Debian ユーザ]][[ja:Chroot Debian ユーザ]] | <span data-link_translate_ja_title="Chroot Debian ユーザ" data-link_translate_ja_url="Chroot+Debian+%E3%83%A6%E3%83%BC%E3%82%B6"></span>[[:ja:Chroot Debian ユーザ]][[ja:Chroot Debian ユーザ]] | ||
<span data-link_translate_ar_title="مستخدمي ديبيان استجذار" data-link_translate_ar_url="%D9%85%D8%B3%D8%AA%D8%AE%D8%AF%D9%85%D9%8A+%D8%AF%D9%8A%D8%A8%D9%8A%D8%A7%D9%86+%D8%A7%D8%B3%D8%AA%D8%AC%D8%B0%D8%A7%D8%B1"></span>[[:ar:مستخدمي ديبيان استجذار]][[ar:مستخدمي ديبيان استجذار]] | <span data-link_translate_ar_title="مستخدمي ديبيان استجذار" data-link_translate_ar_url="%D9%85%D8%B3%D8%AA%D8%AE%D8%AF%D9%85%D9%8A+%D8%AF%D9%8A%D8%A8%D9%8A%D8%A7%D9%86+%D8%A7%D8%B3%D8%AA%D8%AC%D8%B0%D8%A7%D8%B1"></span>[[:ar:مستخدمي ديبيان استجذار]][[ar:مستخدمي ديبيان استجذار]] | ||
| Ligne 10 : | Ligne 13 : | ||
<span data-link_translate_es_title="Usuarios de Debian chroot" data-link_translate_es_url="Usuarios+de+Debian+chroot"></span>[[:es:Usuarios de Debian chroot]][[es:Usuarios de Debian chroot]] | <span data-link_translate_es_title="Usuarios de Debian chroot" data-link_translate_es_url="Usuarios+de+Debian+chroot"></span>[[:es:Usuarios de Debian chroot]][[es:Usuarios de Debian chroot]] | ||
<span data-link_translate_en_title="Chroot Debian users" data-link_translate_en_url="Chroot+Debian+users"></span>[[:en:Chroot Debian users]][[en:Chroot Debian users]] | <span data-link_translate_en_title="Chroot Debian users" data-link_translate_en_url="Chroot+Debian+users"></span>[[:en:Chroot Debian users]][[en:Chroot Debian users]] | ||
| + | |||
| + | {{#seo: | ||
| + | |title=Chrooter ses utilisateurs Debian | ||
| + | |title_mode=append | ||
| + | |keywords=these,are,your,keywords | ||
| + | |description=Découvrez dans cet article comment chrooter ses utilisateurs Debian | ||
| + | |image=Uploaded_file.png | ||
| + | |image_alt=Wiki Logo | ||
| + | }} | ||
| + | |||
==Introduction== | ==Introduction== | ||
Il peut être utile de '''chrooter''' ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.<br> | Il peut être utile de '''chrooter''' ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.<br> | ||
| − | <div style="background-color: #FF9999;"> '''Avertissement''': Avant toute modification de votre système prévoyez toujours une | + | <div style="background-color: #FF9999;"> '''Avertissement''': Avant toute modification de votre système prévoyez toujours une {{Template:Sauvegarde}} de vos fichiers en cas de mauvaise manipulation.<br> |
| − | Sur un | + | Sur un {{Template:Serveur}} de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.</div> |
==Pré-requis== | ==Pré-requis== | ||
L'un des pré-requis essentiel est de conserver son système le plus à jour possible.<br> | L'un des pré-requis essentiel est de conserver son système le plus à jour possible.<br> | ||
<pre> apt-get update | <pre> apt-get update | ||
apt-get upgrade </pre> | apt-get upgrade </pre> | ||
| − | Afin de conserver votre système Debian à jour, assurez-vous de posséder une liste des dépôts officiels. Vous pourrez trouver une liste des dépôts disponibles chez Ikoula et les instructions d'installation [[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]]. | + | Afin de conserver votre système '''[https://www.ikoula.com/fr/serveur-dedie/linux/debian Debian]''' à jour, assurez-vous de posséder une liste des dépôts officiels. Vous pourrez trouver une liste des dépôts disponibles chez Ikoula et les instructions d'installation [[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]]. |
==Mise en place== | ==Mise en place== | ||
===Créer le groupe de chroot=== | ===Créer le groupe de chroot=== | ||
| Ligne 96 : | Ligne 109 : | ||
[[Catégorie:Serveur dédié]] | [[Catégorie:Serveur dédié]] | ||
[[Catégorie:Linux]] | [[Catégorie:Linux]] | ||
| + | [[Catégorie:Serveur VPS]] | ||
<br /> | <br /> | ||
<comments /> | <comments /> | ||
Version actuelle datée du 9 septembre 2021 à 16:45
fr:Chrooter ses utilisateurs Debian he:משתמשי דביאן Chroot ru:Пользователи Debian chroot ja:Chroot Debian ユーザ ar:مستخدمي ديبيان استجذار zh:Chroot Debian 用户 ro:Utilizatorii Debian chroot pl:Użytkownicy Debiana chroot de:Debian-Chroot-Benutzer nl:Chroot Debian gebruikers it:Utenti Debian chroot pt:Usuários Debian chroot es:Usuarios de Debian chroot en:Chroot Debian users
Introduction
Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.
Sur un serveur de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.
Pré-requis
L'un des pré-requis essentiel est de conserver son système le plus à jour possible.
apt-get update apt-get upgrade
Afin de conserver votre système Debian à jour, assurez-vous de posséder une liste des dépôts officiels. Vous pourrez trouver une liste des dépôts disponibles chez Ikoula et les instructions d'installation à cette adresse.
Mise en place
Créer le groupe de chroot
L'une des façons de mettre en place une prison est de créer un groupe dont tous les utilisateurs emprisonnés dépendent.
- Créer le groupe
groupadd chrootgrp
- Créer notre nouvel utilisateur
adduser -g chrootgrp notre_utilisateur
Créer les répertoires
Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /
- Créer tous les répertoires
# la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
mkdir -p /var/jail/{dev,etc,lib,usr,bin}
mkdir -p /var/jail/usr/bin
- Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
chown root.root /var/jail
- Créer également le fichier /dev/null
mknod -m 666 /var/jail/dev/null c 1 3
Fichiers de configuration /etc/
Le dossier de configuration /etc/ requiert quelques fichiers vitaux afin de fonctionner correctement, nous allons donc les copier vers notre prison.
- Copier les fichiers de configuration vers la prison
# Se déplacer dans le dossier /etc/ de la prison cd /var/jail/etc # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/) cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts .
Déterminer les commandes accessibles
Nous devons à présent déterminer les commandes qui seront accessibles à notre utilisateur, par exemple la commande ls, cat et bash.
- Nous devons pour cela copier les exécutables vers notre prison
# Se déplacer dans le dossier /usr/bin de la prison cd /var/jail/usr/bin # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin) cp /usr/bin/ls . cp /usr/bin/cat . cp /usr/bin/bash .
- Ne pas oublier d'ajouter les bibliothèques partagées pour les exécutables
# on cherche les bibliothèques de ls grâce à la commande ldd
ldd /bin/ls
# La commande retourne un résultat similaire:
linux-gate.so.1 => (0xb7f2b000)
librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
/lib/ld-linux.so.2 (0xb7f2c000)
libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)
Configurer le service SSH
Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.
- Editer le fichier de configuration ssh
vi /etc/ssh/sshd_config
- Ajouter le contenu suivant en fin de fichier
# Ajout du groupe chroot
Match group chrootgrp
ChrootDirectory /var/jail/
X11Forwarding no
AllowTcpForwarding no
- Redémarrer le service ssh
/etc/init.d/ssh restart
Cette configuration désactive également la redirection X11 et la redirection des ports TCP. Dans certains cas, notamment la mise en place d'un tunnel sécurisé, il peut être nécessaire de revoir la configuration et enlever cette interdiction.
Option: Modifier le prompt
Cette étape est optionnelle, en effet si vous avez tester la connexion vers votre prison vous avez du remarquer un prompt similaire à ceci:
bash-2-5$
Si vous souhaitez utiliser un prompt moins général il vous suffit d'effectuer la procédure suivante:
# copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur cp /etc/skel/* /var/jail/home/notre_utilisateur/ # Vous avez à présent quelque chose comme ceci notre_utilisateur:->
Activer l'actualisation automatique des commentaires