Comment jail un utilisateur linux
Question
Y at-il quelque chose de similaire à chroot, mais pour les utilisateurs?
Nous sommes sur le point d'accorder l'accès à nos serveurs à un client et nous aimerions qu'ils ne voient que les répertoires autorisés.
La solution
Une recherche Google sur la " openssh jail " m'a amené à SSHjail pour openSSH . Si votre client utilise ssh / scp pour accéder auxdits serveurs, c'est peut-être ce que vous recherchez.
Autres conseils
La "meilleure réponse" à partir de 2009 est obsolète.
OpenSSH vient maintenant avec l'option ChrootDirectory
.
Voir http://www.debian-administration.org/articles/590 pour qui une version déjà ancienne de ssh.
Il est important de noter que chroot (2) n’est pas destiné à des fins de sécurité. Il est incroyablement facile d'échapper à une prison chroot. Voir cet article sur abuser de chroot pour plus d'informations.
Si vous voulez vraiment aller à l'extrême, SE Linux (ou tout autre < a href = "http://en.wikipedia.org/wiki/Mandatory_access_control" rel = "nofollow noreferrer"> contrôle d'accès obligatoire ) est une amélioration définitive des autorisations Unix par défaut.
Une méthode efficace consiste à utiliser lshell
.Pas de moyen facile d'emprisonner les utilisateurs dans leurs répertoires. En passant, je ne donnerais JAMAIS l'accès à mes systèmes à une personne en qui je ne fais pas confiance.
La dernière fois que j’ai fait cela, j’ai utilisé un mot clé "incontournable". menu basé sur http://bash.cyberciti.biz/guide/A_menu_box Le .bashrc lance ce script que vous n’échapperiez pas:
~/.bashrc :
(LAST LINE)
./menu.sh; exit 0
Oui, je devais écrire des scripts pour chaque élément de menu (obtenir les journaux, vérifier sys, ...), mais personne ne pouvait exécuter 'chown -R root: root /' au lieu de *. Inestimable.
[EDIT]: créez un utilisateur dédié, ne le faites pas en tant que root !!!