Conversation
precedente ou
suivante
chroot &makejail
Envoyé par:
panthere noire
Hello
Je veux chrooter sshd, chose faite avec le makejail. le problème est que je ne parvient pas a me loguer en local user@127.0.0.1 le probleme semble venire du faite qu'il lui faut les utilisateur donc de pouvoire placer les commande qui vont bien pour le faire.
a savoir adduser ,passwd, deluser. du moin pour avoir un fichier /etc/passwd pour les nouveau utilisateur.
J'ai donc tenter d'ajouter adduser mai :
Donc je ne sai pas si je doit me tourner du coter de debootstrap qui a mon avis posera le meme problème.
Le probleme c'est que l'outil ldd ne marche pas apparament et le problème des locale est lier aussi aux depandance.
bref c'est un peux le merd*** :
voici le makejail.conf:
net install--> sid2.6.32 dist i386
fluxbox
nvidia 8800gtx 768 ddr3
Je veux chrooter sshd, chose faite avec le makejail. le problème est que je ne parvient pas a me loguer en local user@127.0.0.1 le probleme semble venire du faite qu'il lui faut les utilisateur donc de pouvoire placer les commande qui vont bien pour le faire.
a savoir adduser ,passwd, deluser. du moin pour avoir un fichier /etc/passwd pour les nouveau utilisateur.
J'ai donc tenter d'ajouter adduser mai :
adduser teste
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LANGUAGE = (unset),
LC_ALL = (unset),
LANG = "fr_CH.UTF-8"
are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
Can't locate warnings.pm in @INC (@INC contains: /etc/perl /usr/local/lib/perl/5.8.8 /usr/local/share/perl/5.8.8 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.8 /usr/share/perl/5.8 /usr/local/lib/site_perl .) at /usr/sbin/adduser line 33.
BEGIN failed--compilation aborted at /usr/sbin/adduser line 33.
Donc je ne sai pas si je doit me tourner du coter de debootstrap qui a mon avis posera le meme problème.
Le probleme c'est que l'outil ldd ne marche pas apparament et le problème des locale est lier aussi aux depandance.
bref c'est un peux le merd*** :
voici le makejail.conf:
# Makejail configuration file for sshd # # Created by Javier Fernandez-sanguino Peña <jfs@computer.org> # Thu, 29 Aug 2002 23:44:51 +0200 #/usr/sbin/adduser /usr/bin/passwd /bin/ls #/etc/perl /usr/local/lib/perl/5.8.8 /usr/local/share/perl/5.8.8 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.8 /usr/share/perl/5.8 /usr/local/lib/site_perl chroot="/var/chroot/sshd" forceCopy=["/etc/ssh/ssh_host*","/etc/ssh/sshd*","/etc/ssh/moduli", "/etc/perl","/usr/local/lib/perl/5.8.8 ","/usr/local/share/perl/5.8.8", "/usr/lib/perl5","/usr/share/perl5","/usr/lib/perl/5.8","/usr/share/perl/5.8", "/usr/local/lib/site_perl", "/etc/pam.conf","/etc/security/*","/etc/pam.d/ssh","/etc/pam.d/other", "/etc/hosts","/etc/nsswitch.conf", "/var/run/sshd","/lib/security/*","/usr/sbin/adduser","/usr/bin/passwd", "/etc/shells", "/etc/nologin","/etc/environment","/etc/motd", "/etc/shadow","/etc/hosts*","/bin/ls", "/bin/*sh", "/lib/libnss*", "/dev/urandom", "/dev/pt*","/dev/ttyp[0-9]*"] # Remove this if you want to make configuration changes *outside* of the # chroot environment # preserve=["/etc/","/home/","/dev/"] # otherwise just do this: preserve=["/dev/","/home"] # Besides the sshd user (needed after 3.4p1) any user which is going to # be granted access to the ssh daemon should be added to 'users' and # 'groups'. userFiles=["/etc/passwd","/etc/shadow"] groupFiles=["/etc/group","/etc/gshadow"] users=["sshd"] groups=["sshd"] testCommandsInsideJail=["start-stop-daemon --start --quiet --pidfile /var/run/sshd.pid --exec /usr/sbin/sshd"] testCommandsOutsideJail=["ssh localhost"] processNames=["sshd"] # Changes to do to jail sshd: # 1.- start makejail with this configuration file # it might not be able to start the daemon since the daemon tries to # access /dev/log (handled by syslogd) # # 2.- In init.d's startup script (/etc/init.d/sshd): # replace "start-stop-daemon ..." with "chroot /var/chroot/sshd start-stop-daemon ..." # # 3.- configure syslog to also listen to the socket /var/chroot/sshd/dev/log, # restart sysklogd. # (for Debian) This can be done by changing the SYSLOGD option in # /etc/init.d/syslogd to # SYSLOGD="-p /dev/log -p /var/chroot/sshd/dev/log" # # 4.- Create the user directories under /home and copy their files there # # 5.- Users will not be able to do a single thing in the restricted environment # besides running their shell. You will have to add some utilities # to the chrooted environement. Try adding this to the configuration # packages=["fileutils"] # You can add any other Debian packages you want users to have access # to. # # WARNING: this configuration file has only been slightly tested. # It has not been thoroughly tested yet.
net install--> sid2.6.32 dist i386
fluxbox
nvidia 8800gtx 768 ddr3
Poste le Friday 19 October 2007 06:00:06
Re: chroot &makejail
Envoyé par:
oudoubah
Je vais commencer par répondre à côté :
Parmis les options de sshd, il y a "UsePrivilegeSeparation yes" : lorsqu'un utilisateur essaie de se connecter, sshd lance un fils qui fonctionne en droits restreints (pour l'authentification). Si une attaque se fait sur sshd, ce sera ses fils sans droits qui la subieront réellement.
Si tu chrootes sshd, il faut que tu chrootes également tes utilisateurs dans la même prison que celle de sshd (ou faire un mic-mac des répertoires)
Quelle est ta motivation pour chrooter sshd?
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Parmis les options de sshd, il y a "UsePrivilegeSeparation yes" : lorsqu'un utilisateur essaie de se connecter, sshd lance un fils qui fonctionne en droits restreints (pour l'authentification). Si une attaque se fait sur sshd, ce sera ses fils sans droits qui la subieront réellement.
Si tu chrootes sshd, il faut que tu chrootes également tes utilisateurs dans la même prison que celle de sshd (ou faire un mic-mac des répertoires)
Quelle est ta motivation pour chrooter sshd?
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Friday 19 October 2007 13:02:50
Re: chroot &makejail
Envoyé par:
panthere noire
Justement celle de chrooter les utilisateurs pour qu'ils ne puissent pas voir les autres utilisateurs.
net install--> sid2.6.32 dist i386
fluxbox
nvidia 8800gtx 768 ddr3
net install--> sid2.6.32 dist i386
fluxbox
nvidia 8800gtx 768 ddr3
Poste le Friday 19 October 2007 16:40:12
Re: chroot &makejail
Envoyé par:
oudoubah
Dans ce cas, nul besoin de chrooter sshd, mais uniquement les utilisateurs.
Par contre, si tu as 100 utilisateurs, cela signifiera que tu auras 101 arborescences (le / normal plus le / de chaque utilisateur).
Pour éviter qu'un utilisateur ne puisse voir un autre utilisateur, il y a 2 choses à faire :
- une identification distante (pour éviter qu'il puisse faire un cat /etc/passwd)
- faire un chmod 711 /home , pour que les utilisateurs ne puissent pas voir le nom des autres utilisateurs.
On peut toujours connaitre le nom des utilisateurs loggués (avec un simple ps).
Je ne sais pas quelle est la finalité de ton système, mais je pense qu'il vaut mieux travailler pour la sécurité globale que dépenser de l'énergie et beaucoup d'espace disque pour chrooter chaque utilisateur.
La commande adduser devant être utilisée en root, il vaut mieux éviter de la mettre dans la prison. Aucun utilisateur emprisonné ne devrait y avoir accès.
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Par contre, si tu as 100 utilisateurs, cela signifiera que tu auras 101 arborescences (le / normal plus le / de chaque utilisateur).
Pour éviter qu'un utilisateur ne puisse voir un autre utilisateur, il y a 2 choses à faire :
- une identification distante (pour éviter qu'il puisse faire un cat /etc/passwd)
- faire un chmod 711 /home , pour que les utilisateurs ne puissent pas voir le nom des autres utilisateurs.
On peut toujours connaitre le nom des utilisateurs loggués (avec un simple ps).
Je ne sais pas quelle est la finalité de ton système, mais je pense qu'il vaut mieux travailler pour la sécurité globale que dépenser de l'énergie et beaucoup d'espace disque pour chrooter chaque utilisateur.
La commande adduser devant être utilisée en root, il vaut mieux éviter de la mettre dans la prison. Aucun utilisateur emprisonné ne devrait y avoir accès.
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Friday 19 October 2007 19:26:49
Ce forum !
chroot &makejail
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons