Como fazer: chroot SSH (SSH mais seguro)

hra

Este tutorial explica como configurar um ambiente para o servidor sshd de forma que o usuário só tenha acesso ao seu diretório home e tenha o mínimo de comandos disponíveis, só o necessário para executar suas tarefas, assim incrementando a segurança.

[ Hits: 105.206 ]

Por: Hamilton R. Amorim em 15/10/2003 | Blog: http://www.algorista.tk


Permissões dos arquivos



É importante estar atendo às permissões destas pastas e arquivos, tire todas as permissões de escrita, deixe tudo como sendo propriedade do usuário root. Dê acesso de leitura e execução a tudo isso e só deixe escrever na pasta /home/teste.

Mesmo com tudo isso feito ainda é possível ao usuário escrever em sua raíz ("/"), pois ela é na verdade o seu /home/teste original. Para resolver esse problema, retire a permissão de escrita da pasta /home/teste original:

# chmod u-w /home/teste

Outro detalhe, jamais coloque o comando chmod nesta árvore, se você colocar um chmod o usuário poderá simplesmente entrar pelo ftp e fazer o upload dos programas que quiser, mudar os atributos dos arquivos e executar quando quiser, assim sua segurança vai pelo ralo.

Certifique-se de que seu servidor de ftp tem desabilitado a opção de chmod.

O servidor wu-ftpd desta distribuição (RedHat73) já vem com o chmod desabilitado. Se você tem duvida quanto a esta configuração, basta fazer um teste, ou melhor ainda seria aprender a configurar seu servidor de ftp.

Aqui acaba a configuração do userspace, agora vamos efetuar as configurações globais no servidor.

Página anterior     Próxima página

Páginas do artigo
   1. Considerações iniciais
   2. Introdução
   3. Requisitos
   4. Criando a raíz
   5. Permissões dos arquivos
   6. Configurando o Linux
   7. Considerações finais
Outros artigos deste autor

Como fazer: Chroot Dosemu (Clipper no Linux)

Porque tanta gente não usa o Linux? Será que o Linux é ruim mesmo?

Onde estão os programadores da era DOS?

cal2svg - brincando com shell script e arquivos vetoriais SVG

A miséria social do Brasil e o software proprietário

Leitura recomendada

Iptables protege contra SYN FLOOD?

Servidor para centralização de logs - Fedora 7

Apache2 + PHP5 com ModSecurity no Debian Squeeze

Slackware vs PAM

SELinux - Segurança em Servidores GNU/Linux

  
Comentários
[1] Comentário enviado por fabio em 15/10/2003 - 09:46h

Excelente artigo! É a primeira vez que vejo algo falando sobre criação de "celas" ssh em Português.

[2] Comentário enviado por y2h4ck em 31/03/2004 - 13:51h

Bom fiz o teste aqui ... estou tendo uma pequena dificuldade nao sei se com permissoes ...
porem o quando me logo o usuario esta caindo fora do home dele ... okei

falow

[3] Comentário enviado por y2h4ck em 31/03/2004 - 13:59h

(root@unsekurity)(/)$ ssh -l guest localhost
guest@localhost's password:
Last login: Sat Mar 27 11:35:22 2004 from localhost
Have a lot of fun...
/bin/chroot-shell: Exec format error
Connection to localhost closed.

heys meu erro
meu /bin/chroot-shell esta igualzinho ao do seu explo
so tive que modificar o path do /usr/sbin/chroot para /usr/bin/chroot
espero que possa je ajudar :D

[4] Comentário enviado por peter_77_schultz em 20/11/2005 - 12:09h

Beleza Amilton! Pois é, voce já escreveu o artigo a quase dois anos e mesmo depois de tanto tempo e ainda desperta interesse.

No meu caso estou tentando instalar o Chroot SSH na minha máquina. Segui todos os passos que voce descreveu, mas no final eu nao consigo me logar na area chroot. Isso acontece tanto com o comando "su" quanto com o comando "ssh".

Eu nao obtenho nenhum erro. Mas toda vez que eu digito a senha a pergunta aparece novamente- "password:"

será que voce pode me dar uma força. Valeu, Peter

[5] Comentário enviado por tatototino em 19/08/2006 - 20:39h

no meu tb igual na do peter pede duas vezes a passwd /etc/passwd

pq pede vcs sabem ?

[6] Comentário enviado por apscherbach em 02/10/2006 - 16:50h

Comigo aqui está dando esse erro:

Usuário não existente. O que pode ser. O usuário está criado... claro, e os arquivos passwd e group copiados e modificados.

Adriano

[7] Comentário enviado por K1LL -9 em 15/11/2007 - 17:34h

Dúvida boba ( não tive tempo pra testar essa solução):

Obteria exito em executar algo ('uploadeado') usando a ld-2.2.5.so ?
Obteria né ?


[8] Comentário enviado por TigonesBuell em 04/09/2008 - 15:26h

Ignorante

[9] Comentário enviado por diesel em 04/11/2012 - 09:47h

Obrigado pela contribuição.
Me ajudou muito.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts