Chroot Debian 用户
fr:Chrooter ses utilisateurs Debian
en:Chroot Debian users
es:Usuarios de Debian chroot
pt:Usuários Debian chroot
it:Utenti Debian chroot
nl:Chroot Debian gebruikers
de:Debian-Chroot-Benutzer
zh:Chroot Debian 用户
ar:مستخدمي ديبيان استجذار
ja:Chroot Debian ユーザ
pl:Użytkownicy Debiana chroot
ru:Пользователи Debian chroot
ro:Utilizatorii Debian chroot
he:משתמשי דביאן Chroot
这篇文章是从由软件进行自动翻译。你可以看到这篇文章的源代码
fr:Chrooter ses utilisateurs Debian
he:משתמשי דביאן Chroot
ru:Пользователи Debian chroot
ja:Chroot Debian ユーザ
ar:مستخدمي ديبيان استجذار
zh:Chroot Debian 用户
ro:Utilizatorii Debian chroot
pl:Użytkownicy Debiana chroot
de:Debian-Chroot-Benutzer
nl:Chroot Debian gebruikers
it:Utenti Debian chroot
pt:Usuários Debian chroot
es:Usuarios de Debian chroot
en:Chroot Debian users
介绍
Il peut être utile de chrooter ses utilisateurs afin de limiter leur liberté de mouvements au sein de son système.
Sur un 服务器 de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.
系统必备组件
必不可少的前提条件之一是要更新其系统。
apt-get update apt-get upgrade
为了使您的系统保持最新,请确保你有官方资料库的列表。你可以在 Ikoula 和安装说明找到可用的存储库列表。[Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| à cette adresse]].
执行
创建 chroot
设置了监狱的方式之一是创建一个组,取决于被监禁的所有用户。
- 创建组
groupadd chrootgrp
- 创建我们的新用户
adduser -g chrootgrp notre_utilisateur
创建目录
Nous devons maintenant mettre en place les répertoires de base de notre prison chroot afin de simuler la présence du répertoire racine /
- 创建所有目录
# la syntaxe { } nous permet de définir un répertoire et plusieurs sous-répertoires en une commande
mkdir -p /var/jail/{dev,etc,lib,usr,bin}
mkdir -p /var/jail/usr/bin
- Assigner les permissions aux répertoires créer afin de changer le propriétaire par root
chown root.root /var/jail
- 此外创建文件 /dev/null
mknod -m 666 /var/jail/dev/null c 1 3
配置文件 /etc/
配置文件 /etc/ 需要几个重要文件才能正常工作,所以我们会将它们复制到我们的监狱。
- 将配置文件复制到监狱
# Se déplacer dans le dossier /etc/ de la prison cd /var/jail/etc # Copier les fichiers de configuration vers le répertoire courant . (/var/jail/etc/) cp /etc/ld.so.cache . cp /etc/ld.so.conf . cp /etc/nsswitch.conf . cp /etc/hosts .
确定可用的命令
我们现在必须确定将提供给我们的用户,例如命令 ls、 猫和 bash 的命令。
- 我们需要将可执行文件复制到我们的监狱
# Se déplacer dans le dossier /usr/bin de la prison cd /var/jail/usr/bin # Copier les exécutables souhaités vers le répertoire courant (/var/jail/usr/bin) cp /usr/bin/ls . cp /usr/bin/cat . cp /usr/bin/bash .
- 别忘了添加用于可执行文件共享库
# on cherche les bibliothèques de ls grâce à la commande ldd
ldd /bin/ls
# La commande retourne un résultat similaire:
linux-gate.so.1 => (0xb7f2b000)
librt.so.1 => /lib/librt.so.1 (0xb7f1d000)
libacl.so.1 => /lib/libacl.so.1 (0xb7f16000)
libc.so.6 => /lib/libc.so.6 (0xb7dcf000)
libpthread.so.0 => /lib/libpthread.so.0 (0xb7db7000)
/lib/ld-linux.so.2 (0xb7f2c000)
libattr.so.1 => /lib/libattr.so.1 (0xb7db2000)
配置 SSH 服务
Maintenant que notre prison est en place nous devons configurer le service SSH de façon à rediriger notre utilisateur appartenant au groupe chrooté vers son nouvel emplacement sécurisé.
- 编辑 ssh 配置文件
vi /etc/ssh/sshd_config
- 在文件末尾添加以下内容
# Ajout du groupe chroot
Match group chrootgrp
ChrootDirectory /var/jail/
X11Forwarding no
AllowTcpForwarding no
- 重新启动 ssh 服务
/etc/init.d/ssh restart
这种配置也会禁用重定向 X11 和 TCP 端口转发。在某些情况下,包括执行安全的隧道,它可能需要检查配置和删除这项禁令。
选项: 更改命令提示符
此步骤是可选的如果你测试连接到你的监狱你有公告,提示,类似于这:
bash-2-5$
如果你想要使用少一般提示只需执行以下步骤:
# copier le contenu de /etc/skel vers /var/jail/home/votre_utilisateur cp /etc/skel/* /var/jail/home/notre_utilisateur/ # Vous avez à présent quelque chose comme ceci notre_utilisateur:->
开启评论自动刷新