Chroot

De SME Server Wiki

solution 1

http://forum.ovh.com/archive/index.php/t-10344.html

pour sécuriser l'accès en SFTP sur un serveur OVH redhat 7.2...

1. Pour un nouveau serveur:

allez chercher scponly ici (http://www.sublimation.org/scponly/) copier scponly-x.x.zip sur le serveur dans /home/ovh/src

unzip scponly-x.x.zip ; rm -f scponly-x.x.zip

2. Configuration scponly pour le serveur

allez dans /home/ovh/src/scponly-x.x faites

./configure --enable-chrooted-binary --disable-scp-compat --disable-winscp-compat --disable-chroot-checkdir --prefix=/usr

==> ce prefix est bon pour une release OVH 7.2, pour les autres, vérifiez l'emplacement de chroot (whereis chroot) puis modifiez prefix en fonction (release 1 OVH, /usr/sbin/chroot ==> --prefix=/usr...

faites "make" puis "make install" dans le fichier /etc/shells, ajouter la ligne /usr/sbin/scponlyc (voir ci-dessus)

3. Sécuriser le SFTP pour un user

editez /etc/passwd remplacez "/bin/bash" par "/usr/sbin/scponlyc" pour le user sélectioné dans le home du user (/home/user), créez les répertoires:

lib
usr
usr/bin
usr/lib
usr/libexec
usr/libexec/openssh

copiez les fichiers suivants dans leur arborescence "user":

/usr/bin/sftp
/usr/libexec/openssh/sftp-server

lancez

ldd /usr/bin/sftp

le résultat ressemble à cela:

libutil.so.1 => /lib/libutil.so.1 (0x4001c000)
libz.so.1 => /usr/lib/libz.so.1 (0x4001f000)
libnsl.so.1 => /lib/libnsl.so.1 (0x4002d000)
libcrypto.so.0.9.6 => /lib/libcrypto.so.0.9.6 (0x40044000)
libcrypt.so.1 => /lib/libcrypt.so.1 (0x40114000)
libc.so.6 => /lib/libc.so.6 (0x40142000)
libdl.so.2 => /lib/libdl.so.2 (0x40278000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)


copier les librairies dans leur arborescence user Bon courage.

option 2

ajouter les repo dag et centalt

yum update openssh-server --enablerepo=centalt --enablerepo=dag
Dependencies Resolved

=============================================================================================================================================================================================================================================
 Package                                                     Arch                                               Version                                                            Repository                                           Size
=============================================================================================================================================================================================================================================
Updating:
 openssh-server                                              x86_64                                              6.1p1-5.el5.1                                                      centalt                                             363 k
Installing for dependencies:
 libedit                                                     x86_64                                             20090923-3.0_1.el5.rf                                              dag                                                 272 k
Updating for dependencies:
 openssh                                                     x86_64                                             6.1p1-5.el5.1                                                      centalt                                             329 k
 openssh-clients                                             x86_64                                             6.1p1-5.el5.1                                                      centalt                                             671 k

Transaction Summary
=============================================================================================================================================================================================================================================
Install       1 Package(s)
Upgrade       3 Package(s)

Total download size: 1.6 M


enfin configurer avec des tempaltes customs suivant la source : http://www.thisisnotsupported.com/sftp-chrootjail-on-centos6/


soit :

  1. creer un groupe pour l'ibay a chrooter
  2. creer une clef rsa pour le user membre du groupe
  3. ajouter les templates custom suivant :
expand-template /etc/ssh/sshd_config
service sshd restart

se connecter en sftp avec le user et sa clef.

  1. attention /home/e-smith est la propriété de admin pour que cela fonctionne il faut donner le owership à root chown root:admin /home/e-smith

https://wiki.archlinux.org/index.php/SFTP-chroot http://wiki.contribs.org/Centalt