Chroot
Sommaire
solution 1
http://forum.ovh.com/archive/index.php/t-10344.html
pour sécuriser l'accès en SFTP sur un serveur OVH redhat 7.2...
1. Pour un nouveau serveur:
allez chercher scponly ici (http://www.sublimation.org/scponly/) copier scponly-x.x.zip sur le serveur dans /home/ovh/src
unzip scponly-x.x.zip ; rm -f scponly-x.x.zip
2. Configuration scponly pour le serveur
allez dans /home/ovh/src/scponly-x.x faites
./configure --enable-chrooted-binary --disable-scp-compat --disable-winscp-compat --disable-chroot-checkdir --prefix=/usr
==> ce prefix est bon pour une release OVH 7.2, pour les autres, vérifiez l'emplacement de chroot (whereis chroot) puis modifiez prefix en fonction (release 1 OVH, /usr/sbin/chroot ==> --prefix=/usr...
faites "make" puis "make install" dans le fichier /etc/shells, ajouter la ligne /usr/sbin/scponlyc (voir ci-dessus)
3. Sécuriser le SFTP pour un user
editez /etc/passwd remplacez "/bin/bash" par "/usr/sbin/scponlyc" pour le user sélectioné dans le home du user (/home/user), créez les répertoires:
lib usr usr/bin usr/lib usr/libexec usr/libexec/openssh
copiez les fichiers suivants dans leur arborescence "user":
/usr/bin/sftp /usr/libexec/openssh/sftp-server
lancez
ldd /usr/bin/sftp
le résultat ressemble à cela:
libutil.so.1 => /lib/libutil.so.1 (0x4001c000) libz.so.1 => /usr/lib/libz.so.1 (0x4001f000) libnsl.so.1 => /lib/libnsl.so.1 (0x4002d000) libcrypto.so.0.9.6 => /lib/libcrypto.so.0.9.6 (0x40044000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x40114000) libc.so.6 => /lib/libc.so.6 (0x40142000) libdl.so.2 => /lib/libdl.so.2 (0x40278000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)
copier les librairies dans leur arborescence user Bon courage.
option 2
ajouter les repo dag et centalt
yum update openssh-server --enablerepo=centalt --enablerepo=dag
Dependencies Resolved ============================================================================================================================================================================================================================================= Package Arch Version Repository Size ============================================================================================================================================================================================================================================= Updating: openssh-server x86_64 6.1p1-5.el5.1 centalt 363 k Installing for dependencies: libedit x86_64 20090923-3.0_1.el5.rf dag 272 k Updating for dependencies: openssh x86_64 6.1p1-5.el5.1 centalt 329 k openssh-clients x86_64 6.1p1-5.el5.1 centalt 671 k Transaction Summary ============================================================================================================================================================================================================================================= Install 1 Package(s) Upgrade 3 Package(s) Total download size: 1.6 M
enfin configurer avec des tempaltes customs suivant la source :
http://www.thisisnotsupported.com/sftp-chrootjail-on-centos6/
soit :
- creer un groupe pour l'ibay a chrooter
- creer une clef rsa pour le user membre du groupe
- ajouter les templates custom suivant :
expand-template /etc/ssh/sshd_config service sshd restart
se connecter en sftp avec le user et sa clef.
- attention /home/e-smith est la propriété de admin pour que cela fonctionne il faut donner le owership à root chown root:admin /home/e-smith
https://wiki.archlinux.org/index.php/SFTP-chroot http://wiki.contribs.org/Centalt
