Forum Linux.debian/ubuntu Securité shell ssh sous Debian

Posté par Darkayser (site web personnel) le 15 mai 2006 à 12:11.

Étiquettes : aucune

mai

2006

Salut à tous ! J'ai besoin d'un petit coups de mains ...
J'ai un petit serveur sous Debian, et je propose de l'hébergement gratuit, et j'aimerais pouvoir offrir des shells, mais sans mettre en danger le serveur !
http://freehost.zapto.org
J'aimerais pouvoir limiter le déplacement des utilisateurs, et les ''cantonner'' dans leur dossier home si cela est possible, ou, du moins, qu'ils n'aient pas accès au parties critiques du système...
Vous avez des idées ??

Merci d'avance, Arnaud.

# Chroot + SSH

Posté par Sebastian le 15 mai 2006 à 12:36. Évalué à 2.

Bonjour,

Le sujet a déjà été bien abordé.
Le principe est le chrootage.

http://linuxfr.org/forums/10/16176.html
- [^] # Re: Chroot + SSH
  
  Posté par Darkayser (site web personnel) le 15 mai 2006 à 12:43. Évalué à 1.
  
  Merci bcp pour ta réponse aussi rapide, dsl d'avoir ouvert un sujet déja abordé ... !
- [^] # Virtual server
  
  Posté par mururoa69 le 15 mai 2006 à 12:43. Évalué à 0.
  
  Ou pour etre plus efficace que chroot un serveur virtuel avec vmware ou xen.
  - [^] # Re: Virtual server
    
    Posté par Darkayser (site web personnel) le 15 mai 2006 à 12:49. Évalué à 1.
    
    Sur un serveur 225 Mz / 320 Mo de ram, je pense pas que ca soit super performant cette solution ... lol !
    - [^] # Re: Virtual server
      
      Posté par mururoa69 le 15 mai 2006 à 14:34. Évalué à 0.
      
      Et heu, comment on devine que ton serveur c'est un ancetre ?
      Surtout qu'on peut trouver des serveurs genre p3 500MHz ou plus pour 100¤ ...
  - [^] # Re: Virtual server
    
    Posté par Sebastian le 15 mai 2006 à 12:51. Évalué à 2.
    
    Effectivement la virtualisation peut être une solution.
    Mais, cela serait je pense, un gaspillage de resources pour l'utilisation ici souhaitée.
    - [^] # Re: Virtual server
      
      Posté par Darkayser (site web personnel) le 15 mai 2006 à 13:00. Évalué à 1.
      
      Je viens de mettre le dossier /home en '' rwx - r x - x ''
      j'ai testé avec un compte utilisateur, on ne peut plus lire le dossier /home, mais tout de meme acceder à son propre dossier, je pense que je tiens une piste ...
      - [^] # Re: Virtual server
        
        Posté par Darkayser (site web personnel) le 15 mai 2006 à 13:21. Évalué à 1.
        
        C'est bon, j'ai trouver comment faire:
        retirer le droit lecture à /
        retirer le droit lecture à /home
        retirer le droit lecture à /var
        retirer le droit lecture à /etc
        tout en laissant le droit '' x ''
        Ca bloquera les curieux, c'est sur, ca bloque pas tout ... mais vu qu'il y aura pas bcp de monde sur le serveur, ca devrait suffir. ('',)
        
        [^] # Re: Virtual server
        
        Posté par Yann 'Ze' Richard (site web personnel) le 15 mai 2006 à 14:41. Évalué à 1.
        
        La sécurité par l'ObsKur. C'est pas que cela sert a rien mais ca sert a rien :)
        
        Met à jour ton système régulierement, n'utilise pas les version beta de logiciels, installe un kernel avec un GrSecurity à la rigueur mais modifier les droits comme tu le propose s'est de la pure stupidité. soit l'utilisateur est neuneu et il ira pas voir dedans dans tout les cas. soit il est pas neuneu et il sait que cela sert à rien :)
# Shell Restreint

Posté par Arnaud Da Costa le 15 mai 2006 à 17:51. Évalué à 1.

Une solution est de leur attribuer un shell restreint, par exemple rbash (dant cet exemple, il s'agit du shell bash lancé par "rbash" au lieu de "bash").

If Bash is started with the name rbash, or the `--restricted' option is supplied at invocation, the shell becomes restricted. A restricted shell is used to set up an environment more controlled than the standard shell. A restricted shell behaves identically to bash with the exception that the following are disallowed:

* Changing directories with the cd builtin.
* Setting or unsetting the values of the SHELL, PATH, ENV, or BASH_ENV variables.
* Specifying command names containing slashes.
* Specifying a filename containing a slash as an argument to the . builtin command.
* Specifying a filename containing a slash as an argument to the `-p' option to the hash builtin command.
* Importing function definitions from the shell environment at startup.
* Parsing the value of SHELLOPTS from the shell environment at startup.
* Redirecting output using the `>', `>|', `<>', `>&', `&>', and `>>' redirection operators.
* Using the exec builtin to replace the shell with another command.
* Adding or deleting builtin commands with the `-f' and `-d' options to the enable builtin.
* Specifying the `-p' option to the command builtin.
* Turning off restricted mode with `set +r' or `set +o restricted'.

http://www.faqs.org/docs/bashman/bashref_75.html
- [^] # Re: Shell Restreint
  
  Posté par Darkayser (site web personnel) le 15 mai 2006 à 21:03. Évalué à 1.
  
  Pas mal ca ! Le seul soucis, on peut meme pas changer de dossier dans son propre dossier home ... pas tres pratique, du coups, on peut plus faire grand chose dans son shell, la meme chose, sans le blocage de cd, ou du moins just le bloqué quand c'est au dessu de /home, ca serait parfait ! :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.