L’objectif est de ne permettre que l’un ou certains de ces protocoles à nos utilisateurs, et de les chrooter.

Préparation : le paquet rssh

La première étape est bien sûr d’installer le paquet rssh

/etc/passwd

Les utilisateurs à droits restreint doivent se voir affublé du shell restreint :
/usr/bin/rssh

/etc/rssh.conf

le fichier de configuration doit ensuite être préparé.
chaque utilisateur possède son entrée dans le fichier, sur une ligne, chaque champs étant séparé par des ’ :’ de ses voisins.
user=jacques:022:01010:chemin
user=boby:011:11011

– Le premier champs est le login
– Le second champs est le umask
– le troisioème est un champs de 5 bits validant l’utilisation (dans cet ordre) de rsync, rdist,cvs,sftp, et scp
– le quatrième, s’il est présent, est le chemin de la nouvelle racine, et provoque par sa présence le chrootage.

le nouveau root

Une arborescence minimum doit être créé dans la nouvelle racine :
– dev/

• dev/null (copié de /dev/null )

– etc/ contenant

• group
• hosts
• ld.so.cache
• ld.so.conf
• ld.so.conf.d/
  • i486-linux-gnu.conf
• ld.so.hwcappkgs
• nsswitch.conf
• passwd
• resolv.conf

– un lib/ contenant

• ld-linux.so.2
• libcom_err.so.2
• libncurses.so.5
• tls/
  • i686
    • cmov
      • libc.so.6
      • libcrypt.so.1
      • libdl.so.2
      • libnsl.so.1
      • libresolv.so.2
      • libutil.so.1

– usr/

• bin/
  • find
• lib/
  • i686/
    • cmov/
      • libcrypto.so.0.9.8
  • libedit.so.2
  • libgssapi_krb5.so.2
  • libk5crypto.so.3
  • libkrb5.so.3
  • libkrb5support.so.0
  • libz.so.1
  • openssh/
    • sftp-server