« natrag naprijed »
 Str: [1]   Dolje

Autor Tema: ssh sa ograničenim pristupm (chroot)  (Posjeta: 1140 )

0 Članova i 1 Gost pregledava ovu temu.

Offline ijurisic

  • Administrator
  • Prof. član
  • *****
  • Postova: 1395
  • Spol: Muški
  • Ivan
    • Profil
    • http://www.debian-world.com/
ssh sa ograničenim pristupm (chroot)
« : 19. Lipanj 2009., 01:04:36 »
1. Zašto ograničiti kretanje unutar ssh-a?
2. Podešavanje ssh servera
3. Pravljenje "jail" mape unutar koje će se kretati korisnici
4. Podešavanje prava korisnika
1. Zašto ograničiti kretanje unutar ssh-a?
Kako bi povećali sigurnost potrebno napraviti:
1. isključiti mogučnost prijave preko ssh-a kao root
2. povećati broj min. znakova u lozinki korisnika
3. omogučiti logiranje kao root samo preko lokalnog terminala
4. koristiti "jail" (preko chroot-a)

2. Podešavanje ssh servera
Logirajte se kao root i otvorite datoteku : /etc/ssh/sshd_config
Kod: [Select]
nano /etc/ssh/sshd_configPronađite sljdeće postavke i postavite ih ovako (ako ih nema dopišite ih):
Kod: [Select]
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

Match User korisnikweb
    ChrootDirectory /home/jail
    AllowTCPForwarding no
    X11Forwarding no

U gornjem primjeru za korisnika korisnikweb se aktivira chroot na pustanji /home/jail, ako želimo uključiti chroot za neku grupu korisnika dodajte i ovo:
Kod: [Select]
Match Group users
    ChrootDirectory /home/jail
    AllowTCPForwarding no
    X11Forwarding noRestartajte ssh server sa:
Kod: [Select]
/etc/init.d/ssh restart
Sad dodate npr. korisnikweb:
Kod: [Select]
adduser korisnikweb
3. Pravljenje "jail" mape unutar koje će se kretati korisnici

Sad je podtrebno napraviti stablo sa minimalnim setom naredbi koje će biti dostupne korisniku, za pravljenje tog stabla možete koristiti upute sa web stranice Chroot environment for SSH, ali pošto bi vam to malo potrajalo ručno napravio sam skriput koja downloda sa debian mirrora minimalni set paketa koji vam je potreban, zatim sve to odpakira u jail mapu, i napravi osnovnu pripremu (napravi dev/null i dev/zerro, i kopira passwd,group i resolv.conf)

Skripta se može prilagoditi vašim potrebama (ovisno koje pakete želite dodati u jail), jednostavno otvorite skriptu i uredite listu paketa po vašoj želji. Možete promjeniti i podrazumjevanu putanju za jail (/home/jail).

Pokrenite skriptu:
Kod: [Select]
sh pravi_jail.sh
4. Podešavanje prava korisnika

Prije nego se korisnik proba spojiti potrebno je napraviti:
Kod: [Select]
cd /home
mv korisnikweb jail/home
ln -s /home/jail/home/korisnikweb /home/korisnikweb
cd jail/home
chown -R korisnikweb:korisnikweb korisnikweb
chmod -R 755 korisnikweb

To je to, sada se probajte spojiti na ssh server koristeći korisnikweb korisnički račun :)
Evidentirano
 Str: [1]   Gore
« natrag naprijed »
 


Powered by SMF 2.0 RC3 | SMF © 2006–2008, Simple Machines LLC