chroot ssh sftp
Le
Wallace
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: multipart/mixed; boundary="nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR";
protected-headers="v1"
From: Wallace <wallace@morkitu.org>
To: debian-user-french@lists.debian.org
Message-ID: <026c9572-e8c0-bbd4-a832-233078efab6f@morkitu.org>
Subject: chroot ssh sftp
--nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Language: fr-FR
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes=
sftp/ssh
et limiter les commandes qu'ils peuvent y faire.
En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a été enlevé car une faille de sécu assez sym=
pa traîne depuis
l'été 2016. En allant voir le github du logiciel en effet les i=
ssues
s'accumulent, des contributeurs proposent des solutions mais le
mainteneur n'agit plus depuis 1 an.
Je suis vraiment content de ce que fait Debian à ce niveau, j'ai bea=
u
être abonné rss à différents flux qu'ils proposent po=
ur suivre les mises
à jour mais je n'ai pas vu le retrait, va falloir que j'amélior=
e ma veille.
Tout cela pour finalement me dire qu'il serait peut être temps de re=
voir
ce couple mysecureshell et lshell. Il y a bien une fonctionnalité de=
chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans
ssh il faut refaire pour chaque compte des répertoires /bin /lib =
et
mettre des liens hard vers les binaires utiles (cp, mv, ls, ) Cette
méthode est clairement la meilleure et la plus logique mais je la tr=
ouve
lourde à gérer et je vois déjà des utilisateurs essay=
er de virer les
répertoires parce qu'ils en ont pas besoin ou se plaindre que ç=
a n'aide
pas à la lecture des dossiers ou fichiers qu'ils vont y déposer=
.
Avez-vous des idées d'alternatives entre mon système actuel et =
le vrai
chroot?
Merci
--nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR--
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
--BEGIN PGP SIGNATURE--
Version: GnuPG v2
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
iEYEARECAAYFAlmvoXAACgkQFq2gi4VPTl2baQCfQhhmcdomJXHi+svZva/fBP0o
75gAn2INfgfmycTSynDEr0bA30+D16p5
m+7
--END PGP SIGNATURE--
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls--
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: multipart/mixed; boundary="nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR";
protected-headers="v1"
From: Wallace <wallace@morkitu.org>
To: debian-user-french@lists.debian.org
Message-ID: <026c9572-e8c0-bbd4-a832-233078efab6f@morkitu.org>
Subject: chroot ssh sftp
--nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Language: fr-FR
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes=
sftp/ssh
et limiter les commandes qu'ils peuvent y faire.
En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a été enlevé car une faille de sécu assez sym=
pa traîne depuis
l'été 2016. En allant voir le github du logiciel en effet les i=
ssues
s'accumulent, des contributeurs proposent des solutions mais le
mainteneur n'agit plus depuis 1 an.
Je suis vraiment content de ce que fait Debian à ce niveau, j'ai bea=
u
être abonné rss à différents flux qu'ils proposent po=
ur suivre les mises
à jour mais je n'ai pas vu le retrait, va falloir que j'amélior=
e ma veille.
Tout cela pour finalement me dire qu'il serait peut être temps de re=
voir
ce couple mysecureshell et lshell. Il y a bien une fonctionnalité de=
chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans
ssh il faut refaire pour chaque compte des répertoires /bin /lib =
et
mettre des liens hard vers les binaires utiles (cp, mv, ls, ) Cette
méthode est clairement la meilleure et la plus logique mais je la tr=
ouve
lourde à gérer et je vois déjà des utilisateurs essay=
er de virer les
répertoires parce qu'ils en ont pas besoin ou se plaindre que ç=
a n'aide
pas à la lecture des dossiers ou fichiers qu'ils vont y déposer=
.
Avez-vous des idées d'alternatives entre mon système actuel et =
le vrai
chroot?
Merci
--nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR--
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
--BEGIN PGP SIGNATURE--
Version: GnuPG v2
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
iEYEARECAAYFAlmvoXAACgkQFq2gi4VPTl2baQCfQhhmcdomJXHi+svZva/fBP0o
75gAn2INfgfmycTSynDEr0bA30+D16p5
m+7
--END PGP SIGNATURE--
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls--
On 06/09/2017 09:19, Wallace wrote:
--
Francois Mescam
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28
Content-Type: multipart/mixed; boundary="79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj";
protected-headers="v1"
From: Wallace To:
Message-ID: Subject: Re: chroot ssh sftp
References: In-Reply-To: --79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Language: fr-FR
Le 06/09/2017 à 09:40, Francois Mescam a écrit :
Docker isole des applications entre elles, Docker n'isole pas un compte
utilisateur de son micro OS.
Et puis Docker en prod, quand je vois le massacre chez certains
clairement loin de moi cette idée, OS des images pas à jour / p lus
maintenu, aucun hardening du micro OS, aucune configuration
d'optimisation de perf.
Pour moi c'est utile que pour du prototypage et développement,
clairement pas pour de la prod.
--79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj--
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
Comment: GPGTools - http://gpgtools.org
iEYEARECAAYFAlmvqdgACgkQFq2gi4VPTl125gCfbW27udcpA49NCWxe+8dYRA17
/OsAnAznabhILFiwu803o+E4TL2oCd7o
=xN9D
-----END PGP SIGNATURE-----
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28--
je suis curieux: en quoi docker peut aider ?
marc
https://serverfault.com/questions/354615/allow-sftp-but-disallow-ssh
tout est inclus dans openssh maintant ... enfin si j'ai tout compris ta
demande.
marc
ah mais j'etais pas en train de dire que je validais... je disais
justement "pas docker" mais debbootstrap te permettrait probablement
d'avoir un truc rapidement ... autres pistes:
* autre outils ? guix ? singularity ?
* utiliser des binaires compilés statiquement pour créer un env a la
main
bonne chance
marc