Como fazer: chroot SSH (SSH mais seguro)

hra

Este tutorial explica como configurar um ambiente para o servidor sshd de forma que o usuário só tenha acesso ao seu diretório home e tenha o mínimo de comandos disponíveis, só o necessário para executar suas tarefas, assim incrementando a segurança.

[ Hits: 104.416 ]

Por: Hamilton R. Amorim em 15/10/2003 | Blog: http://www.algorista.tk

0 0

Denuncie Favoritos Indicar Impressora

Permissões dos arquivos

É importante estar atendo às permissões destas pastas e arquivos, tire todas as permissões de escrita, deixe tudo como sendo propriedade do usuário root. Dê acesso de leitura e execução a tudo isso e só deixe escrever na pasta /home/teste.

Mesmo com tudo isso feito ainda é possível ao usuário escrever em sua raíz ("/"), pois ela é na verdade o seu /home/teste original. Para resolver esse problema, retire a permissão de escrita da pasta /home/teste original:

# chmod u-w /home/teste

Outro detalhe, jamais coloque o comando chmod nesta árvore, se você colocar um chmod o usuário poderá simplesmente entrar pelo ftp e fazer o upload dos programas que quiser, mudar os atributos dos arquivos e executar quando quiser, assim sua segurança vai pelo ralo.

Certifique-se de que seu servidor de ftp tem desabilitado a opção de chmod.

O servidor wu-ftpd desta distribuição (RedHat73) já vem com o chmod desabilitado. Se você tem duvida quanto a esta configuração, basta fazer um teste, ou melhor ainda seria aprender a configurar seu servidor de ftp.

Aqui acaba a configuração do userspace, agora vamos efetuar as configurações globais no servidor.

Página anterior Próxima página

Páginas do artigo

   1. Considerações iniciais
   2. Introdução
   3. Requisitos
   4. Criando a raíz
   5. Permissões dos arquivos
   6. Configurando o Linux
   7. Considerações finais

Outros artigos deste autor

Copiando programas dos LiveCDs (Kurumin) para seu Debian sem usar a internet

Porque tanta gente não usa o Linux? Será que o Linux é ruim mesmo?

Como fazer: Chroot Dosemu (Clipper no Linux)

Onde estão os programadores da era DOS?

cal2svg - brincando com shell script e arquivos vetoriais SVG

Leitura recomendada

Segurança para iniciantes

Alta Disponibilidade (High Availability) em sistemas GNU/Linux

Implementação de OpenVAS-5 em Ubuntu 10.04.4 LTS

Instalando e integrando o amavis e o viruscan no sendmail

Race condition - vulnerabilidades em suids

Comentários

[1] Comentário enviado por fabio em 15/10/2003 - 09:46h

Excelente artigo! É a primeira vez que vejo algo falando sobre criação de "celas" ssh em Português.

0 0

[2] Comentário enviado por y2h4ck em 31/03/2004 - 13:51h

Bom fiz o teste aqui ... estou tendo uma pequena dificuldade nao sei se com permissoes ...
porem o quando me logo o usuario esta caindo fora do home dele ... okei

falow

0 0

[3] Comentário enviado por y2h4ck em 31/03/2004 - 13:59h

(root@unsekurity)(/)$ ssh -l guest localhost
guest@localhost's password:
Last login: Sat Mar 27 11:35:22 2004 from localhost
Have a lot of fun...
/bin/chroot-shell: Exec format error
Connection to localhost closed.

heys meu erro
meu /bin/chroot-shell esta igualzinho ao do seu explo
so tive que modificar o path do /usr/sbin/chroot para /usr/bin/chroot
espero que possa je ajudar :D

0 0

[4] Comentário enviado por peter_77_schultz em 20/11/2005 - 12:09h

Beleza Amilton! Pois é, voce já escreveu o artigo a quase dois anos e mesmo depois de tanto tempo e ainda desperta interesse.

No meu caso estou tentando instalar o Chroot SSH na minha máquina. Segui todos os passos que voce descreveu, mas no final eu nao consigo me logar na area chroot. Isso acontece tanto com o comando "su" quanto com o comando "ssh".

Eu nao obtenho nenhum erro. Mas toda vez que eu digito a senha a pergunta aparece novamente- "password:"

será que voce pode me dar uma força. Valeu, Peter

0 0

[5] Comentário enviado por tatototino em 19/08/2006 - 20:39h

no meu tb igual na do peter pede duas vezes a passwd /etc/passwd

pq pede vcs sabem ?

0 0

[6] Comentário enviado por apscherbach em 02/10/2006 - 16:50h

Comigo aqui está dando esse erro:

Usuário não existente. O que pode ser. O usuário está criado... claro, e os arquivos passwd e group copiados e modificados.

Adriano

0 0

[7] Comentário enviado por K1LL -9 em 15/11/2007 - 17:34h

Dúvida boba ( não tive tempo pra testar essa solução):

Obteria exito em executar algo ('uploadeado') usando a ld-2.2.5.so ?
Obteria né ?

0 0