http://www.siegler-informatique.fr/ fr SPIP - www.spip.net http://www.siegler-informatique.fr/sites/siegler-informatique.fr/local/cache-vignettes/L144xH168/siteon0-b4502.jpg http://www.siegler-informatique.fr/ 168 144 http://www.siegler-informatique.fr/Prison-SSH-sur-Debian-Etch.html http://www.siegler-informatique.fr/Prison-SSH-sur-Debian-Etch.html 2009-06-27T14:56:42Z text/html fr Yannick Siegler <p>Comment donner un accès SSH à un utilisateur et le limiter dans un sous dossier précis.</p> - <a href="http://www.siegler-informatique.fr/-Documentations-.html" rel="directory">Documentations</a> <div class='rss_chapo'><p>Cet article a pour but de présenter une méthode efficace pour enfermer un utilisateur SSH dans un sous dossier précis et l'empêcher d'accéder à tout votre système.</p></div> <div class='rss_texte'><p>Je me suis basé sur l'article <a href="http://www.howtoforge.com/chroot_ssh_sftp_debian_etch_p2" class='spip_out' rel='external'>Chroot SSH</a>.</p> <p>Il nous faut quelques packages, pour cela lancer la commande suivante :</p> <form action='' method='get'><div> <input type='hidden' name='exec' value='' /> <textarea readonly='readonly' cols='40' rows='3' class='spip_cadre' dir='ltr'>aptitude install sudo debianutils coreutils libpam0g-dev openssl libcrypto++-dev libssl0.9.7 libssl-dev ssh build-essential bzip2</textarea></div></form> <p>Puis nous récupérons un script dont le site d'origine est : <a href="http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/" class='spip_out' rel='external'>www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail</a></p> <p><a href="http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/make_chroot_jail.sh" class='spip_out' rel='external'>Télécharger le script</a>.</p> <p>et nous le plaçons dans /usr/local/sbin</p> <form action='' method='get'><div> <input type='hidden' name='exec' value='' /> <textarea readonly='readonly' cols='40' rows='4' class='spip_cadre' dir='ltr'>cd /usr/local/sbin wget http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/make_chroot_jail.sh chmod 700 /usr/local/sbin/make_chroot_jail.sh</textarea></div></form> <p>Ensuite il suffit de lancer la commande pour la création d'un compte chrooter</p> <form action='' method='get'><div> <input type='hidden' name='exec' value='' /> <textarea readonly='readonly' cols='40' rows='2' class='spip_cadre' dir='ltr'>make_chroot_jail.sh testuser /bin/chroot-shell /home/chroot</textarea></div></form> <p>Avec :</p> <ul class="spip"><li> <strong class="spip">nom d'utilisateur</strong> : testuser</li><li> <strong class="spip">le shell du chroot</strong> : /bin/chroot-shell</li><li> <strong class="spip">la racine de la prison</strong> : /home/chroot</li></ul> <p>Ensuite tout sera crée comme il faut… Si vous souhaitez modifier la liste des commandes disponibles dans l'environnement SSH vous pouvez modifier directement le script, dans la partie Debian, il y'a toutes les commandes à transférer. (voir autour de la ligne 118).</p> <p>Si vous souhaitez ajouter une commande spécifique à un utilisateur vous pouvez copier le binaire dans l'environnement chrooter ainsi que les libs dépendantes. Pour connaitre les libs il suffit de faire :</p> <form action='' method='get'><div> <input type='hidden' name='exec' value='' /> <textarea readonly='readonly' cols='40' rows='2' class='spip_cadre' dir='ltr'>ldd /chemin-de-la-commande</textarea></div></form></div>