Como fazer: chroot SSH (SSH mais seguro)

hra

Este tutorial explica como configurar um ambiente para o servidor sshd de forma que o usuário só tenha acesso ao seu diretório home e tenha o mínimo de comandos disponíveis, só o necessário para executar suas tarefas, assim incrementando a segurança.

[ Hits: 105.207 ]

Por: Hamilton R. Amorim em 15/10/2003 | Blog: http://www.algorista.tk

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Escrevi anteriormente um tutorial (how-to, como fazer) que explica como configurar um ambiente para o dosemu onde o usuário não tem acesso ao sistema de arquivos do servidor Linux, assim protegendo a integridade do sistema. Aquele tutorial foi escrito embasado em uma experiência real onde precisei montar um servidor de aplicações para um ERP escrito em Clipper. Naquele momento foi necessário criar um servidor que fosse o mais seguro o possível e que fornecesse o mínimo de acesso aos usuários, pois sempre tem algum espertinho que pega as receitinhas de bolo na internet e se acha "o hacker".

Recentemente, algumas pessoas me contactaram e pediram um tutorial de como fazer esse mesmo trabalho sem o dosemu, só com o ssh. Me parece algo estranhamente simples, esse tutorial será quase igual ao outro, só que com menos coisas a fazer.

Referência:

Como fazer: Chroot Dosemu (Clipper no Linux)

Este tutorial explica como configurar um ambiente para o servidor sshd de forma que o usuário só tenha acesso ao seu diretório home e tenha o mínimo de comandos disponíveis, só o necessário para executar suas tarefas, assim incrementando a segurança.

Página anterior Próxima página

Páginas do artigo

   1. Considerações iniciais
   2. Introdução
   3. Requisitos
   4. Criando a raíz
   5. Permissões dos arquivos
   6. Configurando o Linux
   7. Considerações finais

Outros artigos deste autor

A miséria social do Brasil e o software proprietário

Porque tanta gente não usa o Linux? Será que o Linux é ruim mesmo?

cal2svg - brincando com shell script e arquivos vetoriais SVG

Onde estão os programadores da era DOS?

Como fazer: Chroot Dosemu (Clipper no Linux)

Leitura recomendada

HoneyPots em Linux

Análise de Atividades Suspeitas com Audit

Antivírus ClamAV com proteção em tempo real

Nmap - Comandos úteis para um administrador de sistemas Linux

Quão segura é a sua senha?

Comentários

[1] Comentário enviado por fabio em 15/10/2003 - 09:46h

Excelente artigo! É a primeira vez que vejo algo falando sobre criação de "celas" ssh em Português.

0 0

[2] Comentário enviado por y2h4ck em 31/03/2004 - 13:51h

Bom fiz o teste aqui ... estou tendo uma pequena dificuldade nao sei se com permissoes ...
porem o quando me logo o usuario esta caindo fora do home dele ... okei

falow

0 0

[3] Comentário enviado por y2h4ck em 31/03/2004 - 13:59h

(root@unsekurity)(/)$ ssh -l guest localhost
guest@localhost's password:
Last login: Sat Mar 27 11:35:22 2004 from localhost
Have a lot of fun...
/bin/chroot-shell: Exec format error
Connection to localhost closed.

heys meu erro
meu /bin/chroot-shell esta igualzinho ao do seu explo
so tive que modificar o path do /usr/sbin/chroot para /usr/bin/chroot
espero que possa je ajudar :D

0 0

[4] Comentário enviado por peter_77_schultz em 20/11/2005 - 12:09h

Beleza Amilton! Pois é, voce já escreveu o artigo a quase dois anos e mesmo depois de tanto tempo e ainda desperta interesse.

No meu caso estou tentando instalar o Chroot SSH na minha máquina. Segui todos os passos que voce descreveu, mas no final eu nao consigo me logar na area chroot. Isso acontece tanto com o comando "su" quanto com o comando "ssh".

Eu nao obtenho nenhum erro. Mas toda vez que eu digito a senha a pergunta aparece novamente- "password:"

será que voce pode me dar uma força. Valeu, Peter

0 0

[5] Comentário enviado por tatototino em 19/08/2006 - 20:39h

no meu tb igual na do peter pede duas vezes a passwd /etc/passwd

pq pede vcs sabem ?

0 0

[6] Comentário enviado por apscherbach em 02/10/2006 - 16:50h

Comigo aqui está dando esse erro:

Usuário não existente. O que pode ser. O usuário está criado... claro, e os arquivos passwd e group copiados e modificados.

Adriano

0 0

[7] Comentário enviado por K1LL -9 em 15/11/2007 - 17:34h

Dúvida boba ( não tive tempo pra testar essa solução):

Obteria exito em executar algo ('uploadeado') usando a ld-2.2.5.so ?
Obteria né ?

0 0