Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

chroot ssh sftp

6 réponses
Avatar
Wallace
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: multipart/mixed; boundary="nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR";
protected-headers="v1"
From: Wallace <wallace@morkitu.org>
To: debian-user-french@lists.debian.org
Message-ID: <026c9572-e8c0-bbd4-a832-233078efab6f@morkitu.org>
Subject: chroot ssh sftp

--nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Language: fr-FR

Bonjour =C3=A0 tous,

J'utilise MySecureShell coupl=C3=A9 =C3=A0 lshell pour chroot des comptes=
sftp/ssh
et limiter les commandes qu'ils peuvent y faire.

En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a =C3=A9t=C3=A9 enlev=C3=A9 car une faille de s=C3=A9cu assez sym=
pa tra=C3=AEne depuis
l'=C3=A9t=C3=A9 2016. En allant voir le github du logiciel en effet les i=
ssues
s'accumulent, des contributeurs proposent des solutions mais le
mainteneur n'agit plus depuis 1 an.

Je suis vraiment content de ce que fait Debian =C3=A0 ce niveau, j'ai bea=
u
=C3=AAtre abonn=C3=A9 rss =C3=A0 diff=C3=A9rents flux qu'ils proposent po=
ur suivre les mises
=C3=A0 jour mais je n'ai pas vu le retrait, va falloir que j'am=C3=A9lior=
e ma veille.

Tout cela pour finalement me dire qu'il serait peut =C3=AAtre temps de re=
voir
ce couple mysecureshell et lshell. Il y a bien une fonctionnalit=C3=A9 de=

chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans
ssh il faut refaire pour chaque compte des r=C3=A9pertoires /bin /lib ...=
et
mettre des liens hard vers les binaires utiles (cp, mv, ls, ...) Cette
m=C3=A9thode est clairement la meilleure et la plus logique mais je la tr=
ouve
lourde =C3=A0 g=C3=A9rer et je vois d=C3=A9j=C3=A0 des utilisateurs essay=
er de virer les
r=C3=A9pertoires parce qu'ils en ont pas besoin ou se plaindre que =C3=A7=
a n'aide
pas =C3=A0 la lecture des dossiers ou fichiers qu'ils vont y d=C3=A9poser=
=2E

Avez-vous des id=C3=A9es d'alternatives entre mon syst=C3=A8me actuel et =
le vrai
chroot?

Merci



--nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR--

--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org

iEYEARECAAYFAlmvoXAACgkQFq2gi4VPTl2baQCfQhhmcdomJXHi+svZva/fBP0o
75gAn2INfgfmycTSynDEr0bA30+D16p5
=6D+7
-----END PGP SIGNATURE-----

--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls--

6 réponses

Avatar
Francois Mescam
docker ?
On 06/09/2017 09:19, Wallace wrote:
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh
et limiter les commandes qu'ils peuvent y faire.
En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a été enlevé car une faille de sécu assez sympa traîne depuis
l'été 2016. En allant voir le github du logiciel en effet les issues
s'accumulent, des contributeurs proposent des solutions mais le
mainteneur n'agit plus depuis 1 an.
Je suis vraiment content de ce que fait Debian à ce niveau, j'ai beau
être abonné rss à différents flux qu'ils proposent pour suivre les mises
à jour mais je n'ai pas vu le retrait, va falloir que j'améliore ma veille.
Tout cela pour finalement me dire qu'il serait peut être temps de revoir
ce couple mysecureshell et lshell. Il y a bien une fonctionnalité de
chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans
ssh il faut refaire pour chaque compte des répertoires /bin /lib ... et
mettre des liens hard vers les binaires utiles (cp, mv, ls, ...) Cette
méthode est clairement la meilleure et la plus logique mais je la trouve
lourde à gérer et je vois déjà des utilisateurs essayer de virer les
répertoires parce qu'ils en ont pas besoin ou se plaindre que ça n'aide
pas à la lecture des dossiers ou fichiers qu'ils vont y déposer.
Avez-vous des idées d'alternatives entre mon système actuel et le vrai
chroot?
Merci

--
Francois Mescam
Avatar
Wallace
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28
Content-Type: multipart/mixed; boundary="79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj";
protected-headers="v1"
From: Wallace
To:
Message-ID:
Subject: Re: chroot ssh sftp
References:
In-Reply-To:
--79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Language: fr-FR
Le 06/09/2017 à 09:40, Francois Mescam a écrit :
docker ?

Docker isole des applications entre elles, Docker n'isole pas un compte
utilisateur de son micro OS.
Et puis Docker en prod, quand je vois le massacre chez certains
clairement loin de moi cette idée, OS des images pas à jour / p lus
maintenu, aucun hardening du micro OS, aucune configuration
d'optimisation de perf.
Pour moi c'est utile que pour du prototypage et développement,
clairement pas pour de la prod.
--79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj--
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org
Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org
Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org
iEYEARECAAYFAlmvqdgACgkQFq2gi4VPTl125gCfbW27udcpA49NCWxe+8dYRA17
/OsAnAznabhILFiwu803o+E4TL2oCd7o
=xN9D
-----END PGP SIGNATURE-----
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28--
Avatar
Marc Chantreux
On Wed, Sep 06, 2017 at 09:40:14AM +0200, Francois Mescam wrote:
docker ?

je suis curieux: en quoi docker peut aider ?
marc
Avatar
Marc Chantreux
On Wed, Sep 06, 2017 at 09:19:07AM +0200, Wallace wrote:
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh
et limiter les commandes qu'ils peuvent y faire.

https://serverfault.com/questions/354615/allow-sftp-but-disallow-ssh
tout est inclus dans openssh maintant ... enfin si j'ai tout compris ta
demande.
marc
Avatar
Marc Chantreux
hello,
Si je pousse le concept bien plus loin que mon besoin, quid des
ressources nécessaires pour avoir 2000, 5000, 10000 comptes sftp/ssh?

ah mais j'etais pas en train de dire que je validais... je disais
justement "pas docker" mais debbootstrap te permettrait probablement
d'avoir un truc rapidement ... autres pistes:
* autre outils ? guix ? singularity ?
* utiliser des binaires compilés statiquement pour créer un env a la
main
bonne chance
marc
Avatar
David Martin
Bonjour,
A tout hasard, savez-vous comment je peux loguer tout ce qui se passe
en terminal pour surveiller tous les utilisateurs et ce qu'il font
(saisi au clavier, edition de fichier etc....)
le .bash_history mais je n'ai pas ce qui est saisi au clavier.
Si vous avez des pistes.
Cordialement
--
David Martin