chrootage (rsync, rdist,cvs,sftp,scp)
par
popularité : 29%
L’utilisation de rssh permet de faire des chrootage simplement... à condition de faire tout ce qui va bien.
L’objectif est de ne permettre que l’un ou certains de ces protocoles à nos utilisateurs, et de les chrooter.
Préparation : le paquet rssh
La première étape est bien sûr d’installer le paquet rssh
/etc/passwd
Les utilisateurs à droits restreint doivent se voir affublé du shell restreint :
/usr/bin/rssh
/etc/rssh.conf
le fichier de configuration doit ensuite être préparé.
chaque utilisateur possède son entrée dans le fichier, sur une ligne, chaque champs étant séparé par des ’ :’ de ses voisins.
user=jacques:022:01010:chemin
user=boby:011:11011
– Le premier champs est le login
– Le second champs est le umask
– le troisioème est un champs de 5 bits validant l’utilisation (dans cet ordre) de rsync, rdist,cvs,sftp, et scp
– le quatrième, s’il est présent, est le chemin de la nouvelle racine, et provoque par sa présence le chrootage.
le nouveau root
Une arborescence minimum doit être créé dans la nouvelle racine :
– dev/
- dev/null (copié de /dev/null )
– etc/ contenant
- group
- hosts
- ld.so.cache
- ld.so.conf
- ld.so.conf.d/
- i486-linux-gnu.conf
- ld.so.hwcappkgs
- nsswitch.conf
- passwd
- resolv.conf
– un lib/ contenant
- ld-linux.so.2
- libcom_err.so.2
- libncurses.so.5
- tls/
- i686
- cmov
- libc.so.6
- libcrypt.so.1
- libdl.so.2
- libnsl.so.1
- libresolv.so.2
- libutil.so.1
- cmov
- i686
– usr/
- bin/
- find
- lib/
- i686/
- cmov/
- libcrypto.so.0.9.8
- cmov/
- libedit.so.2
- libgssapi_krb5.so.2
- libk5crypto.so.3
- libkrb5.so.3
- libkrb5support.so.0
- libz.so.1
- openssh/
- sftp-server
- i686/
