chroot ssh sftp

Le
Wallace
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: multipart/mixed; boundary="nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR";
protected-headers="v1"
From: Wallace <wallace@morkitu.org>
To: debian-user-french@lists.debian.org
Message-ID: <026c9572-e8c0-bbd4-a832-233078efab6f@morkitu.org>
Subject: chroot ssh sftp

--nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Language: fr-FR

Bonjour à tous,

J'utilise MySecureShell couplé à lshell pour chroot des comptes=
sftp/ssh
et limiter les commandes qu'ils peuvent y faire.

En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a été enlevé car une faille de sécu assez sym=
pa traîne depuis
l'été 2016. En allant voir le github du logiciel en effet les i=
ssues
s'accumulent, des contributeurs proposent des solutions mais le
mainteneur n'agit plus depuis 1 an.

Je suis vraiment content de ce que fait Debian à ce niveau, j'ai bea=
u
être abonné rss à différents flux qu'ils proposent po=
ur suivre les mises
à jour mais je n'ai pas vu le retrait, va falloir que j'amélior=
e ma veille.

Tout cela pour finalement me dire qu'il serait peut être temps de re=
voir
ce couple mysecureshell et lshell. Il y a bien une fonctionnalité de=

chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans
ssh il faut refaire pour chaque compte des répertoires /bin /lib =
et
mettre des liens hard vers les binaires utiles (cp, mv, ls, ) Cette
méthode est clairement la meilleure et la plus logique mais je la tr=
ouve
lourde à gérer et je vois déjà des utilisateurs essay=
er de virer les
répertoires parce qu'ils en ont pas besoin ou se plaindre que ç=
a n'aide
pas à la lecture des dossiers ou fichiers qu'ils vont y déposer=
.

Avez-vous des idées d'alternatives entre mon système actuel et =
le vrai
chroot?

Merci



--nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR--

--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

--BEGIN PGP SIGNATURE--
Version: GnuPG v2
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org

iEYEARECAAYFAlmvoXAACgkQFq2gi4VPTl2baQCfQhhmcdomJXHi+svZva/fBP0o
75gAn2INfgfmycTSynDEr0bA30+D16p5
m+7
--END PGP SIGNATURE--

--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls--
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Francois Mescam
Le #26443869
docker ?
On 06/09/2017 09:19, Wallace wrote:
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh
et limiter les commandes qu'ils peuvent y faire.
En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a été enlevé car une faille de sécu assez sympa traîne depuis
l'été 2016. En allant voir le github du logiciel en effet les issues
s'accumulent, des contributeurs proposent des solutions mais le
mainteneur n'agit plus depuis 1 an.
Je suis vraiment content de ce que fait Debian à ce niveau, j'ai beau
être abonné rss à différents flux qu'ils proposent pour suivre les mises
à jour mais je n'ai pas vu le retrait, va falloir que j'améliore ma veille.
Tout cela pour finalement me dire qu'il serait peut être temps de revoir
ce couple mysecureshell et lshell. Il y a bien une fonctionnalité de
chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans
ssh il faut refaire pour chaque compte des répertoires /bin /lib ... et
mettre des liens hard vers les binaires utiles (cp, mv, ls, ...) Cette
méthode est clairement la meilleure et la plus logique mais je la trouve
lourde à gérer et je vois déjà des utilisateurs essayer de virer les
répertoires parce qu'ils en ont pas besoin ou se plaindre que ça n'aide
pas à la lecture des dossiers ou fichiers qu'ils vont y déposer.
Avez-vous des idées d'alternatives entre mon système actuel et le vrai
chroot?
Merci


--
Francois Mescam
Wallace
Le #26443867
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28
Content-Type: multipart/mixed; boundary="79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj";
protected-headers="v1"
From: Wallace To:
Message-ID: Subject: Re: chroot ssh sftp
References: In-Reply-To: --79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Language: fr-FR
Le 06/09/2017 à 09:40, Francois Mescam a écrit :
docker ?

Docker isole des applications entre elles, Docker n'isole pas un compte
utilisateur de son micro OS.
Et puis Docker en prod, quand je vois le massacre chez certains
clairement loin de moi cette idée, OS des images pas à jour / p lus
maintenu, aucun hardening du micro OS, aucune configuration
d'optimisation de perf.
Pour moi c'est utile que pour du prototypage et développement,
clairement pas pour de la prod.
--79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj--
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
iEYEARECAAYFAlmvqdgACgkQFq2gi4VPTl125gCfbW27udcpA49NCWxe+8dYRA17
/OsAnAznabhILFiwu803o+E4TL2oCd7o
=xN9D
-----END PGP SIGNATURE-----
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28--
Marc Chantreux
Le #26443868
On Wed, Sep 06, 2017 at 09:40:14AM +0200, Francois Mescam wrote:
docker ?

je suis curieux: en quoi docker peut aider ?
marc
Marc Chantreux
Le #26443866
On Wed, Sep 06, 2017 at 09:19:07AM +0200, Wallace wrote:
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh
et limiter les commandes qu'ils peuvent y faire.

https://serverfault.com/questions/354615/allow-sftp-but-disallow-ssh
tout est inclus dans openssh maintant ... enfin si j'ai tout compris ta
demande.
marc
Marc Chantreux
Le #26443880
hello,
Si je pousse le concept bien plus loin que mon besoin, quid des
ressources nécessaires pour avoir 2000, 5000, 10000 comptes sftp/ssh?

ah mais j'etais pas en train de dire que je validais... je disais
justement "pas docker" mais debbootstrap te permettrait probablement
d'avoir un truc rapidement ... autres pistes:
* autre outils ? guix ? singularity ?
* utiliser des binaires compilés statiquement pour créer un env a la
main
bonne chance
marc
David Martin
Le #26449153
Bonjour,
A tout hasard, savez-vous comment je peux loguer tout ce qui se passe
en terminal pour surveiller tous les utilisateurs et ce qu'il font
(saisi au clavier, edition de fichier etc....)
le .bash_history mais je n'ai pas ce qui est saisi au clavier.
Si vous avez des pistes.
Cordialement

--
David Martin
Publicité
Poster une réponse
Anonyme