chroot - jail utilisateur

Support général incluant les problèmes liés à l'installation.
orishi
Messages : 5
Inscription : 07 janvier 2013, 23:41

chroot - jail utilisateur

Message par orishi » 08 janvier 2013, 00:00

Bonsoir :-)

Ceci est mon premier poste donc je me présente un peu : je suis un étudiant (en licence professionnel DASI (Développeur et Administration du SI) et je suis, bien sûr, passionné aux développements.
Par contre, je débute sur l'administration UNIX.

J'ai envie d’expérimenter de la gestion des utilisateurs sous centos 5.8.
En regardant les sites, j'ai découvert une technique appelé chroot (vous le connaissez probablement) qui permet de "emprisonner" les utilisateurs, cad, la racine d'utilisateur se trouve dans /home/chroot/toto/ et non /. Ce qui est plus sécurisé puisque l'utilisateur toto ne pourra pas visiter la racine /.

Avec le tutoriel http://lea-linux.org/documentations/Adm ... env-chroot, j ai suivi les étapes :

- j'ai crée le groupe / utilisateur / répertoire qui est : /home/chroot/toto/
- j ai crée deux répertoire dans /toto : bin et lib
- j'ai copié le bin/bash dans /toto/bin/bash
- en utilisant ldd, j'ai pu copier les fichier nécessaire dans /toto/lib/
- j'ai crée un script appelé chroot dans /bin/ (en suivant le tutorial)
- j ai modifié le chemin du shell de l'utilisateur (passwd => toto ...........:/bin/chroot)

Et je passe l'utilisateur toto.

Malheureusement, on m'affiche un erreur : /bin/bash introuvable...

Je ne comprends pas pourquoi, puisque le /bin/bash existe dans le répertoire /toto/

Si vous avez un peu du temps, pourriez vous me donner quelques pistes ?

Je vous remercie :-)

Cordialement.

Avatar de l’utilisateur
nouvo09
Messages : 1839
Inscription : 20 octobre 2009, 08:14
Localisation : Paris, France

Re: chroot - jail utilisateur

Message par nouvo09 » 08 janvier 2013, 01:03

- Si tu débutes sous linux alors pourquoi ne pas commencer par la version la plus récente de Centos qui est la 6.3 ?

- As tu regardé le man chroot ? Tu connais la commande man ?
C'est pas parce que c'est difficile qu'on ose pas,
c'est parce qu'on ose pas que c'est difficile !

orishi
Messages : 5
Inscription : 07 janvier 2013, 23:41

Re: chroot - jail utilisateur

Message par orishi » 08 janvier 2013, 09:53

Merci pour ton retour :-)

Oui, je débute mais j'ai quand même quelques bases (je connais la structure d'un OS Unix, les commandes, administrer des utilisateurs (passwd, groupe, shadow, configurer l'authentification avec pam, etc).

Pour la version, le professeur nous a donné cet OS en iso et je l'ai utilisé. Donc, c'est en quelque sorte une petite contrainte. Je peux installer la version 6.3 mais je pense pas que ca marchera si je ferai la même manipulaition. Bref, je continue à me documenter ;-)

Et oui, je connais la commande man mais dans cette situation, je n'ai pas pensé à l'utiliser

orishi
Messages : 5
Inscription : 07 janvier 2013, 23:41

Re: chroot - jail utilisateur

Message par orishi » 08 janvier 2013, 09:55

Oups, je viens de voir que je suis dans le groupe pour centos6.xx et non 5.xx.

Désolé.

Un modérateur peut transferer ce poste vers au groupe centos5.xx ?
Merci.

Avatar de l’utilisateur
nouvo09
Messages : 1839
Inscription : 20 octobre 2009, 08:14
Localisation : Paris, France

Re: chroot - jail utilisateur

Message par nouvo09 » 08 janvier 2013, 14:43

Assure toi avant tout d'avoir bien suivi les indications du man ou info

vérifie également le $PATH.
C'est pas parce que c'est difficile qu'on ose pas,
c'est parce qu'on ose pas que c'est difficile !

orishi
Messages : 5
Inscription : 07 janvier 2013, 23:41

Re: chroot - jail utilisateur

Message par orishi » 08 janvier 2013, 23:41

Je viens de résoudre le problème. Enfin une partie.

J'avais bien suivi la procédure sauf le tutoriel est basé sur centosxx 32 bit et non 64 bit.
Il me semble qu'il existe une différente manipulation pour 64 bit (je documenterai).

J'ai installé centOS 6.3 32 bit et j'ai repris le tutoriel et ça marche parfaitement.

Je ne clique pas encore le bouton "résolu" car je vais tenter de paramétrer chroot avec 64 bit. Quand j'aurai réussi, je posterai les étapes ici, cela pourra être utile pour les autres ;-).

En tout cas, je te remercie nouvo09 de m'avoir répondu. Et merci au modérateur qui a transmit ce poste dans le bon groupe ;-).

Bonne soirée.

Cordialement.

Avatar de l’utilisateur
Heldwin
Messages : 440
Inscription : 20 octobre 2009, 10:11
Localisation : Unknown

Re: chroot - jail utilisateur

Message par Heldwin » 09 janvier 2013, 02:14

Bonjour,

La machine sera considérée comme serveur ou machine cliente ?

En pratique, on ne permet pas aux utilisateurs de se connecter sur un serveur directement (tout comme on évite la possibilité d'agir sur un serveur physiquement aux personnes non autorisées).
On limite les accès distants, ainsi que les différents accès aux services.

De plus, sans parler de l'utilisation de bit suid, la maintenance des environnements de chroot est très lourde à gérer de la manière indiquée dans le tuto (maintenance à faire pour chaque utilisateur qui a un environnement chrooté).

La maintenance est encore plus lourde s'il ne s'agit pas d'un serveur, d'après le nombre d'utilisateurs chrootés et de machines clientes dans un réseau.

EDIT:

Il y a ça qui pourra peut-être t'aider (section 11, et la partie sur mkchroot):
http://doc.fedora-fr.org/wiki/Utilisation_de_chroot

(il s'agit d'une doc fedora 10 je crois, mais elle devrait convenir pour centos 5 ou 6)

Il y a aussi d'autres méthodes, suivant les besoins (rbash, rssh, internal-sftp si openssh > 4.9, etc.)

orishi
Messages : 5
Inscription : 07 janvier 2013, 23:41

Re: chroot - jail utilisateur

Message par orishi » 09 janvier 2013, 10:16

Heldwin,
La machine sera considérée comme serveur ou machine cliente ?
Pour l'instant, ce sera une machine cliente. Mon but est d'exploiter toutes les fonctionnalités qui sont liées à la sécurité de la gestion des utilisateurs. En professionnel, bien sur, ce sera un serveur et les clients pourront connecté à distance.
En pratique, on ne permet pas aux utilisateurs de se connecter sur un serveur directement (tout comme on évite la possibilité d'agir sur un serveur physiquement aux personnes non autorisées).
On limite les accès distants, ainsi que les différents accès aux services.
Oui, j'ai bien vu ca hier :-)
En fait, j'avais pensé :
- Comme le chroot permet de enfermer et limité les commandes, donc je me demandais si c'était possible d'ajouter des commandes / systeme (pour utiliser le desktop GNOME par exemple) dans le chroot, comme cela, si un utilisateur fait une connerie, le principale systeme ne sera pas influencé.
Après quelques lectures / expérimenté, j'ai pu consacté que cela prend trop de ressources, et c'est assez con de recrée un systeme pour chaque utilisateur et j'ai l'impression de violer la philisophie de l'Unix (multi-utilisateur).
Donc, pour l'instant, j'arrête d'exprimenter chroot (sauf pour 64 bit, cela pourrait m'être utile pour plus tard) :-) Et je continue à me documenter sur la sécurisation des utilisateurs.

Pour l'utilisation chroot à distance, je le ferai plus tard, quand j'arriverai à comprendre toutes les principes de sécurisation. Je garde ton lien au chaud :-) ( car je dois faire un dossier sur la sécurisation de la gestion des utilisateurs, et j'ai configuré et a mis des règles (pam, useradd, etc mais je pense que cela reste insuffisant)).

En tout cas, merci de m'avoir répondu ;-).

Cordialement.

Verrouillé