This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--p7W1BV4OFuisl2VDhTwSweTVKxxVho8ls
Content-Type: multipart/mixed; boundary="nIm6MJrcFgsDlMvWf9gaJ6p0asADl1XkR";
protected-headers="v1"
From: Wallace <wallace@morkitu.org>
To: debian-user-french@lists.debian.org
Message-ID: <026c9572-e8c0-bbd4-a832-233078efab6f@morkitu.org>
Subject: chroot ssh sftp
J'utilise MySecureShell coupl=C3=A9 =C3=A0 lshell pour chroot des comptes=
sftp/ssh
et limiter les commandes qu'ils peuvent y faire.
En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a =C3=A9t=C3=A9 enlev=C3=A9 car une faille de s=C3=A9cu assez sym=
pa tra=C3=AEne depuis
l'=C3=A9t=C3=A9 2016. En allant voir le github du logiciel en effet les i=
ssues
s'accumulent, des contributeurs proposent des solutions mais le
mainteneur n'agit plus depuis 1 an.
Je suis vraiment content de ce que fait Debian =C3=A0 ce niveau, j'ai bea=
u
=C3=AAtre abonn=C3=A9 rss =C3=A0 diff=C3=A9rents flux qu'ils proposent po=
ur suivre les mises
=C3=A0 jour mais je n'ai pas vu le retrait, va falloir que j'am=C3=A9lior=
e ma veille.
Tout cela pour finalement me dire qu'il serait peut =C3=AAtre temps de re=
voir
ce couple mysecureshell et lshell. Il y a bien une fonctionnalit=C3=A9 de=
chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans
ssh il faut refaire pour chaque compte des r=C3=A9pertoires /bin /lib ...=
et
mettre des liens hard vers les binaires utiles (cp, mv, ls, ...) Cette
m=C3=A9thode est clairement la meilleure et la plus logique mais je la tr=
ouve
lourde =C3=A0 g=C3=A9rer et je vois d=C3=A9j=C3=A0 des utilisateurs essay=
er de virer les
r=C3=A9pertoires parce qu'ils en ont pas besoin ou se plaindre que =C3=A7=
a n'aide
pas =C3=A0 la lecture des dossiers ou fichiers qu'ils vont y d=C3=A9poser=
=2E
Avez-vous des id=C3=A9es d'alternatives entre mon syst=C3=A8me actuel et =
le vrai
chroot?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Francois Mescam
docker ? On 06/09/2017 09:19, Wallace wrote:
Bonjour à tous, J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh et limiter les commandes qu'ils peuvent y faire. En voulant installer lshell sur une nouvelle Debian 8 je me rend compte que le package n'existe plus. Et je vois sur la page du package que ce dernier a été enlevé car une faille de sécu assez sympa traîne depuis l'été 2016. En allant voir le github du logiciel en effet les issues s'accumulent, des contributeurs proposent des solutions mais le mainteneur n'agit plus depuis 1 an. Je suis vraiment content de ce que fait Debian à ce niveau, j'ai beau être abonné rss à différents flux qu'ils proposent pour suivre les mises à jour mais je n'ai pas vu le retrait, va falloir que j'améliore ma veille. Tout cela pour finalement me dire qu'il serait peut être temps de revoir ce couple mysecureshell et lshell. Il y a bien une fonctionnalité de chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans ssh il faut refaire pour chaque compte des répertoires /bin /lib ... et mettre des liens hard vers les binaires utiles (cp, mv, ls, ...) Cette méthode est clairement la meilleure et la plus logique mais je la trouve lourde à gérer et je vois déjà des utilisateurs essayer de virer les répertoires parce qu'ils en ont pas besoin ou se plaindre que ça n'aide pas à la lecture des dossiers ou fichiers qu'ils vont y déposer. Avez-vous des idées d'alternatives entre mon système actuel et le vrai chroot? Merci
-- Francois Mescam
docker ?
On 06/09/2017 09:19, Wallace wrote:
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh
et limiter les commandes qu'ils peuvent y faire.
En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a été enlevé car une faille de sécu assez sympa traîne depuis
l'été 2016. En allant voir le github du logiciel en effet les issues
s'accumulent, des contributeurs proposent des solutions mais le
mainteneur n'agit plus depuis 1 an.
Je suis vraiment content de ce que fait Debian à ce niveau, j'ai beau
être abonné rss à différents flux qu'ils proposent pour suivre les mises
à jour mais je n'ai pas vu le retrait, va falloir que j'améliore ma veille.
Tout cela pour finalement me dire qu'il serait peut être temps de revoir
ce couple mysecureshell et lshell. Il y a bien une fonctionnalité de
chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans
ssh il faut refaire pour chaque compte des répertoires /bin /lib ... et
mettre des liens hard vers les binaires utiles (cp, mv, ls, ...) Cette
méthode est clairement la meilleure et la plus logique mais je la trouve
lourde à gérer et je vois déjà des utilisateurs essayer de virer les
répertoires parce qu'ils en ont pas besoin ou se plaindre que ça n'aide
pas à la lecture des dossiers ou fichiers qu'ils vont y déposer.
Avez-vous des idées d'alternatives entre mon système actuel et le vrai
chroot?
Bonjour à tous, J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh et limiter les commandes qu'ils peuvent y faire. En voulant installer lshell sur une nouvelle Debian 8 je me rend compte que le package n'existe plus. Et je vois sur la page du package que ce dernier a été enlevé car une faille de sécu assez sympa traîne depuis l'été 2016. En allant voir le github du logiciel en effet les issues s'accumulent, des contributeurs proposent des solutions mais le mainteneur n'agit plus depuis 1 an. Je suis vraiment content de ce que fait Debian à ce niveau, j'ai beau être abonné rss à différents flux qu'ils proposent pour suivre les mises à jour mais je n'ai pas vu le retrait, va falloir que j'améliore ma veille. Tout cela pour finalement me dire qu'il serait peut être temps de revoir ce couple mysecureshell et lshell. Il y a bien une fonctionnalité de chroot dans la partie sftp de ssh mais pour faire un vrai chroot dans ssh il faut refaire pour chaque compte des répertoires /bin /lib ... et mettre des liens hard vers les binaires utiles (cp, mv, ls, ...) Cette méthode est clairement la meilleure et la plus logique mais je la trouve lourde à gérer et je vois déjà des utilisateurs essayer de virer les répertoires parce qu'ils en ont pas besoin ou se plaindre que ça n'aide pas à la lecture des dossiers ou fichiers qu'ils vont y déposer. Avez-vous des idées d'alternatives entre mon système actuel et le vrai chroot? Merci
-- Francois Mescam
Wallace
This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --kgRx893UcLnLPvO1wsotMFFKwmfAPIt28 Content-Type: multipart/mixed; boundary="79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj"; protected-headers="v1" From: Wallace To: Message-ID: Subject: Re: chroot ssh sftp References: In-Reply-To: --79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: quoted-printable Content-Language: fr-FR Le 06/09/2017 à 09:40, Francois Mescam a écrit :
docker ?
Docker isole des applications entre elles, Docker n'isole pas un compte utilisateur de son micro OS. Et puis Docker en prod, quand je vois le massacre chez certains clairement loin de moi cette idée, OS des images pas à jour / p lus maintenu, aucun hardening du micro OS, aucune configuration d'optimisation de perf. Pour moi c'est utile que pour du prototypage et développement, clairement pas pour de la prod. --79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj-- --kgRx893UcLnLPvO1wsotMFFKwmfAPIt28 Content-Type: application/pgp-signature; name="signature.asc" Content-Description: OpenPGP digital signature Content-Disposition: attachment; filename="signature.asc" -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org iEYEARECAAYFAlmvqdgACgkQFq2gi4VPTl125gCfbW27udcpA49NCWxe+8dYRA17 /OsAnAznabhILFiwu803o+E4TL2oCd7o =xN9D -----END PGP SIGNATURE----- --kgRx893UcLnLPvO1wsotMFFKwmfAPIt28--
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--kgRx893UcLnLPvO1wsotMFFKwmfAPIt28
Content-Type: multipart/mixed; boundary="79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj";
protected-headers="v1"
From: Wallace <wallace@morkitu.org>
To: debian-user-french@lists.debian.org
Message-ID: <aaa9aa55-765a-fd7c-9553-f1062a81f81d@morkitu.org>
Subject: Re: chroot ssh sftp
References: <026c9572-e8c0-bbd4-a832-233078efab6f@morkitu.org>
<41ca4a9d-f2f8-c222-3f87-b2affb7c0713@mescam.org>
In-Reply-To: <41ca4a9d-f2f8-c222-3f87-b2affb7c0713@mescam.org>
Docker isole des applications entre elles, Docker n'isole pas un compte
utilisateur de son micro OS.
Et puis Docker en prod, quand je vois le massacre chez certains
clairement loin de moi cette idée, OS des images pas à jour / p lus
maintenu, aucun hardening du micro OS, aucune configuration
d'optimisation de perf.
Pour moi c'est utile que pour du prototypage et développement,
clairement pas pour de la prod.
This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --kgRx893UcLnLPvO1wsotMFFKwmfAPIt28 Content-Type: multipart/mixed; boundary="79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj"; protected-headers="v1" From: Wallace To: Message-ID: Subject: Re: chroot ssh sftp References: In-Reply-To: --79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: quoted-printable Content-Language: fr-FR Le 06/09/2017 à 09:40, Francois Mescam a écrit :
docker ?
Docker isole des applications entre elles, Docker n'isole pas un compte utilisateur de son micro OS. Et puis Docker en prod, quand je vois le massacre chez certains clairement loin de moi cette idée, OS des images pas à jour / p lus maintenu, aucun hardening du micro OS, aucune configuration d'optimisation de perf. Pour moi c'est utile que pour du prototypage et développement, clairement pas pour de la prod. --79cNsogatErwOp7MtaPdFqI3O3Q1kFCTj-- --kgRx893UcLnLPvO1wsotMFFKwmfAPIt28 Content-Type: application/pgp-signature; name="signature.asc" Content-Description: OpenPGP digital signature Content-Disposition: attachment; filename="signature.asc" -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org Comment: GPGTools - http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://gpgtools.org iEYEARECAAYFAlmvqdgACgkQFq2gi4VPTl125gCfbW27udcpA49NCWxe+8dYRA17 /OsAnAznabhILFiwu803o+E4TL2oCd7o =xN9D -----END PGP SIGNATURE----- --kgRx893UcLnLPvO1wsotMFFKwmfAPIt28--
Marc Chantreux
On Wed, Sep 06, 2017 at 09:40:14AM +0200, Francois Mescam wrote:
docker ?
je suis curieux: en quoi docker peut aider ? marc
On Wed, Sep 06, 2017 at 09:40:14AM +0200, Francois Mescam wrote:
Si je pousse le concept bien plus loin que mon besoin, quid des ressources nécessaires pour avoir 2000, 5000, 10000 comptes sftp/ssh?
ah mais j'etais pas en train de dire que je validais... je disais justement "pas docker" mais debbootstrap te permettrait probablement d'avoir un truc rapidement ... autres pistes: * autre outils ? guix ? singularity ? * utiliser des binaires compilés statiquement pour créer un env a la main bonne chance marc
hello,
Si je pousse le concept bien plus loin que mon besoin, quid des
ressources nécessaires pour avoir 2000, 5000, 10000 comptes sftp/ssh?
ah mais j'etais pas en train de dire que je validais... je disais
justement "pas docker" mais debbootstrap te permettrait probablement
d'avoir un truc rapidement ... autres pistes:
* autre outils ? guix ? singularity ?
* utiliser des binaires compilés statiquement pour créer un env a la
main
Si je pousse le concept bien plus loin que mon besoin, quid des ressources nécessaires pour avoir 2000, 5000, 10000 comptes sftp/ssh?
ah mais j'etais pas en train de dire que je validais... je disais justement "pas docker" mais debbootstrap te permettrait probablement d'avoir un truc rapidement ... autres pistes: * autre outils ? guix ? singularity ? * utiliser des binaires compilés statiquement pour créer un env a la main bonne chance marc
David Martin
Bonjour, A tout hasard, savez-vous comment je peux loguer tout ce qui se passe en terminal pour surveiller tous les utilisateurs et ce qu'il font (saisi au clavier, edition de fichier etc....) le .bash_history mais je n'ai pas ce qui est saisi au clavier. Si vous avez des pistes. Cordialement -- David Martin
Bonjour,
A tout hasard, savez-vous comment je peux loguer tout ce qui se passe
en terminal pour surveiller tous les utilisateurs et ce qu'il font
(saisi au clavier, edition de fichier etc....)
le .bash_history mais je n'ai pas ce qui est saisi au clavier.
Bonjour, A tout hasard, savez-vous comment je peux loguer tout ce qui se passe en terminal pour surveiller tous les utilisateurs et ce qu'il font (saisi au clavier, edition de fichier etc....) le .bash_history mais je n'ai pas ce qui est saisi au clavier. Si vous avez des pistes. Cordialement -- David Martin