Ubuntu-fr

Inglebard

[Résolu] Chroot et SSH

Bonjour,

Je dispose de plusieurs utilisateurs sur une machine et je voudrais, en SSH, les isoler complètement dans leur home.
Dans l’idéal, chaque utilisateur doit pouvoir faire : bash, cd (dans le chroot),  sh, cp, mv, ls, ssh, mysqldump, rsync, mc (et d'autres commandes en fonction de l’utilisateur)

Je voulais savoir si il y a moyen de chroot facilement les utilisateurs en SSH.
J'ai suivi ce tuto, mais je le trouve "compliqué" (par rapport à un chroot sftp).

De plus le résultat me satisfait moyen car :
- Le résultat est très minimaliste (et une erreur PTY).
- La duplication de données me gène. Si il faut dupliquer les 3/4 des commandes et des librairies pour chaque utilisateurs, ça va vite utiliser pas mal de ressources de stockage. (bien que je ne sois pas encore dans ce cas là)
- Si il faut mettre à jour chaque chroot, cela prend du temps (si mis à jour il y a)
- Certaines données sont déjà en place, réorganisé les données prend un peu de temps.

Auriez-vous des conseils/solutions à me donner ?

Dernière modification par Inglebard (Le 11/09/2016, à 20:51)

Compte anonymisé

Re : [Résolu] Chroot et SSH

Bonjour,

Je dispose de plusieurs utilisateurs sur une machine et je voudrais, en SSH, les isoler complètement dans leur home.
Dans l’idéal, chaque utilisateur doit pouvoir faire : bash, sh, cp, mv, ls, ssh, mysqldump, rsync, mc (et d'autres commandes en fonction de l’utilisateur)

Je voulais savoir si il y a moyen de chroot facilement les utilisateurs en SSH.
J'ai suivi ce tuto, mais je le trouve "compliqué" (par rapport à un chroot sftp).

De plus le résultat me satisfait moyen car :
- Le résultat est très minimaliste (et une erreur PTY).
- La duplication de données me gène. Si il faut dupliquer les 3/4 des commandes et des librairies pour chaque utilisateurs, ça va vite utiliser pas mal de ressources de stockage. (bien que je ne sois pas encore dans ce cas là)
- Si il faut mettre à jour chaque chroot, cela prend du temps (si mis à jour il y a)
- Certaines données sont déjà en place, réorganisé les données prend un peu de temps.

Auriez-vous des conseils/solutions à me donner ?

si tu chroot des utilisateurs, il faudra aussi qu'un shell pour les commandes bash soit disponible dans ce chroot, sans quoi il n'auront accès qu'en sftp.

jplemoine

Re : [Résolu] Chroot et SSH

Par définition, un chroot est une sorte de "mini-système". Donc, il faudra fatalement dupliquer une partie du système.
Après si les utilisateurs ne sont "sudoers", il suffit peut-être de jouer avec les droits pour qu'ils ne voient pas entre eux et garder un seul système.

---

Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

Inglebard

Re : [Résolu] Chroot et SSH

Salut,

@Localhost : Donc c'est à dire copier le bash et toutes les commandes nécessaires.

@jplemoine : J'esperais juste naïvement, qu'il existait une sorte de bash modifié comme rssh qui permettrait de limter tout ça.

Compte anonymisé

Re : [Résolu] Chroot et SSH

il faut recopier toute la librairie correspondante et recréer l'environnement
pour avoir une idée:  https://www.howtoforge.com/chrooted_ssh_howto_debian_p2

Dernière modification par Compte anonymisé (Le 20/08/2016, à 13:08)

Inglebard

Re : [Résolu] Chroot et SSH

@Localhost : J'ai bien compris tout ça. Mais je trouve ça ultra "lourd" et difficile à maintenir.

Supponsons que j'ai 50 utilisateurs et que demain il y a une mise à jour de sécurité de "bash". Ca veut dire qu'il faut que je recopie le binaires et les libs 50 fois.

Compte anonymisé

Re : [Résolu] Chroot et SSH

dans ce cas,  si c'est pour un grand nombre d'utilisateur à isoler du système, il existe d'autre solutions:
OpenVZ:  système virtuel 
LXC         conteneur (cloisonnement)              https://fr.wikipedia.org/wiki/LXC

Inglebard

Re : [Résolu] Chroot et SSH

Salut,

Si quelqu'un est intéressé par une solution, j'ai créé une image docker : https://hub.docker.com/r/inglebard/ubuntu-sandbox/.
Je pense que c'est un bon compromis entre flexibilité et espace de stockage.