Chroot : Différence entre versions
De SME Server Wiki
| Ligne 1 : | Ligne 1 : | ||
| + | == solution 1== | ||
http://forum.ovh.com/archive/index.php/t-10344.html | http://forum.ovh.com/archive/index.php/t-10344.html | ||
pour sécuriser l'accès en SFTP sur un serveur OVH redhat 7.2... | pour sécuriser l'accès en SFTP sur un serveur OVH redhat 7.2... | ||
| − | 1. Pour un nouveau serveur: | + | ===1. Pour un nouveau serveur:=== |
allez chercher scponly ici (http://www.sublimation.org/scponly/) | allez chercher scponly ici (http://www.sublimation.org/scponly/) | ||
copier scponly-x.x.zip sur le serveur dans /home/ovh/src | copier scponly-x.x.zip sur le serveur dans /home/ovh/src | ||
| − | unzip scponly-x.x.zip ; rm -f scponly-x.x. | + | unzip scponly-x.x.zip ; rm -f scponly-x.x.zip |
| + | |||
| + | ===2. Configuration scponly pour le serveur=== | ||
allez dans /home/ovh/src/scponly-x.x | allez dans /home/ovh/src/scponly-x.x | ||
| − | faites | + | faites |
| + | ./configure --enable-chrooted-binary --disable-scp-compat --disable-winscp-compat --disable-chroot-checkdir --prefix=/usr | ||
| + | ==> ce prefix est bon pour une release OVH 7.2, pour les autres, vérifiez l'emplacement de chroot (whereis chroot) puis modifiez prefix en fonction (release 1 OVH, /usr/sbin/chroot ==> --prefix=/usr... | ||
| + | |||
faites "make" puis "make install" | faites "make" puis "make install" | ||
| − | dans le fichier /etc/shells, ajouter la ligne /usr/sbin/scponlyc (voir ci-dessus)3. Sécuriser le SFTP pour un user | + | dans le fichier /etc/shells, ajouter la ligne /usr/sbin/scponlyc (voir ci-dessus) |
| + | |||
| + | ===3. Sécuriser le SFTP pour un user=== | ||
editez /etc/passwd | editez /etc/passwd | ||
remplacez "/bin/bash" par "/usr/sbin/scponlyc" pour le user sélectioné | remplacez "/bin/bash" par "/usr/sbin/scponlyc" pour le user sélectioné | ||
dans le home du user (/home/user), créez les répertoires: | dans le home du user (/home/user), créez les répertoires: | ||
| − | lib | + | lib |
| − | usr | + | usr |
| − | usr/bin | + | usr/bin |
| − | usr/lib | + | usr/lib |
| − | usr/libexec | + | usr/libexec |
| − | usr/libexec/openssh | + | usr/libexec/openssh |
copiez les fichiers suivants dans leur arborescence "user": | copiez les fichiers suivants dans leur arborescence "user": | ||
| − | /usr/bin/sftp | + | /usr/bin/sftp |
| − | /usr/libexec/openssh/sftp-server | + | /usr/libexec/openssh/sftp-server |
| − | lancez | + | lancez |
| + | ldd /usr/bin/sftp | ||
| + | le résultat ressemble à cela: | ||
| + | libutil.so.1 => /lib/libutil.so.1 (0x4001c000) | ||
| + | libz.so.1 => /usr/lib/libz.so.1 (0x4001f000) | ||
| + | libnsl.so.1 => /lib/libnsl.so.1 (0x4002d000) | ||
| + | libcrypto.so.0.9.6 => /lib/libcrypto.so.0.9.6 (0x40044000) | ||
| + | libcrypt.so.1 => /lib/libcrypt.so.1 (0x40114000) | ||
| + | libc.so.6 => /lib/libc.so.6 (0x40142000) | ||
| + | libdl.so.2 => /lib/libdl.so.2 (0x40278000) | ||
| + | /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) | ||
| + | |||
| + | |||
| + | |||
| + | copier les librairies dans leur arborescence user | ||
| + | Bon courage. | ||
| + | |||
| + | == option 2== | ||
| + | |||
| + | ajouter les repo dag et centalt | ||
| + | |||
| + | yum update openssh-server --enablerepo=centalt --enablerepo=dag | ||
| + | |||
| + | Dependencies Resolved | ||
| + | |||
| + | ============================================================================================================================================================================================================================================= | ||
| + | Package Arch Version Repository Size | ||
| + | ============================================================================================================================================================================================================================================= | ||
| + | Updating: | ||
| + | openssh-server x86_64 6.1p1-5.el5.1 centalt 363 k | ||
| + | Installing for dependencies: | ||
| + | libedit x86_64 20090923-3.0_1.el5.rf dag 272 k | ||
| + | Updating for dependencies: | ||
| + | openssh x86_64 6.1p1-5.el5.1 centalt 329 k | ||
| + | openssh-clients x86_64 6.1p1-5.el5.1 centalt 671 k | ||
| + | |||
| + | Transaction Summary | ||
| + | ============================================================================================================================================================================================================================================= | ||
| + | Install 1 Package(s) | ||
| + | Upgrade 3 Package(s) | ||
| + | |||
| + | Total download size: 1.6 M | ||
| + | |||
| + | |||
| + | enfin configurer avec des tempaltes customs suivant la source : | ||
| + | http://www.thisisnotsupported.com/sftp-chrootjail-on-centos6/ | ||
| + | |||
| + | soit : | ||
| + | # creer un groupe pour l'ibay a chrooter | ||
| + | # creer une clef rsa pour le user membre du groupe | ||
| + | # ajouter les templates custom suivant : | ||
| + | expand-template /etc/ssh/sshd_config | ||
| + | service sshd restart | ||
| + | se connecter en sftp avec le user et sa clef. | ||
| − | + | # attention /home/e-smith est la propriété de admin pour que cela fonctionne il faut donner le owership à root chown root:admin /home/e-smith | |
Version du 26 avril 2013 à 18:37
Sommaire
solution 1
http://forum.ovh.com/archive/index.php/t-10344.html
pour sécuriser l'accès en SFTP sur un serveur OVH redhat 7.2...
1. Pour un nouveau serveur:
allez chercher scponly ici (http://www.sublimation.org/scponly/) copier scponly-x.x.zip sur le serveur dans /home/ovh/src
unzip scponly-x.x.zip ; rm -f scponly-x.x.zip
2. Configuration scponly pour le serveur
allez dans /home/ovh/src/scponly-x.x faites
./configure --enable-chrooted-binary --disable-scp-compat --disable-winscp-compat --disable-chroot-checkdir --prefix=/usr
==> ce prefix est bon pour une release OVH 7.2, pour les autres, vérifiez l'emplacement de chroot (whereis chroot) puis modifiez prefix en fonction (release 1 OVH, /usr/sbin/chroot ==> --prefix=/usr...
faites "make" puis "make install" dans le fichier /etc/shells, ajouter la ligne /usr/sbin/scponlyc (voir ci-dessus)
3. Sécuriser le SFTP pour un user
editez /etc/passwd remplacez "/bin/bash" par "/usr/sbin/scponlyc" pour le user sélectioné dans le home du user (/home/user), créez les répertoires:
lib usr usr/bin usr/lib usr/libexec usr/libexec/openssh
copiez les fichiers suivants dans leur arborescence "user":
/usr/bin/sftp /usr/libexec/openssh/sftp-server
lancez
ldd /usr/bin/sftp
le résultat ressemble à cela:
libutil.so.1 => /lib/libutil.so.1 (0x4001c000) libz.so.1 => /usr/lib/libz.so.1 (0x4001f000) libnsl.so.1 => /lib/libnsl.so.1 (0x4002d000) libcrypto.so.0.9.6 => /lib/libcrypto.so.0.9.6 (0x40044000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x40114000) libc.so.6 => /lib/libc.so.6 (0x40142000) libdl.so.2 => /lib/libdl.so.2 (0x40278000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)
copier les librairies dans leur arborescence user Bon courage.
option 2
ajouter les repo dag et centalt
yum update openssh-server --enablerepo=centalt --enablerepo=dag
Dependencies Resolved ============================================================================================================================================================================================================================================= Package Arch Version Repository Size ============================================================================================================================================================================================================================================= Updating: openssh-server x86_64 6.1p1-5.el5.1 centalt 363 k Installing for dependencies: libedit x86_64 20090923-3.0_1.el5.rf dag 272 k Updating for dependencies: openssh x86_64 6.1p1-5.el5.1 centalt 329 k openssh-clients x86_64 6.1p1-5.el5.1 centalt 671 k Transaction Summary ============================================================================================================================================================================================================================================= Install 1 Package(s) Upgrade 3 Package(s) Total download size: 1.6 M
enfin configurer avec des tempaltes customs suivant la source :
http://www.thisisnotsupported.com/sftp-chrootjail-on-centos6/
soit :
- creer un groupe pour l'ibay a chrooter
- creer une clef rsa pour le user membre du groupe
- ajouter les templates custom suivant :
expand-template /etc/ssh/sshd_config service sshd restart
se connecter en sftp avec le user et sa clef.
- attention /home/e-smith est la propriété de admin pour que cela fonctionne il faut donner le owership à root chown root:admin /home/e-smith
