Jails em SSH: Montando sistema de Shell Seguro

Neste artigo vamos aprender a criar sistemas de Jail em SSH e assim separar recursos a usuários shell de acordo com suas necessidades, criando um ambiente secundário, o que aumenta a segurança na disponibilização de acessos remotos a terceiros.

[ Hits: 66.492 ]

Por: Anderson L Tamborim em 19/02/2008 | Blog: http://y2h4ck.wordpress.com


Iniciando o Projeto: Recursos necessários



A primeira coisa que deve ser definida quando se vai montar a estrutura de chroot para usuários SSH é:
  • Definir grupos de acesso de acordo com as necessidades que cada grupo irá ter ao acessar o seu determinado Jail;
  • Definir o escopo de ação que cada Jail vai ter de forma concisa e limitada, evitando sempre excessos.

Você pode criar diversos Jails independentes e em cada um configurar determinados softwares que podem ser executados.

Iremos criar um para o nosso laboratório onde o usuário irá utilizar somente um Shell Básico, alguns editores de texto e vamos dar a ele acesso via SCP e SFTP.

Para nosso artigo utilizaremos o pacote JailKit.

O Jailkit é um set de utilitários para limitar user accounts à acessar arquivos ou comandos específicos utilizando a função chroot().

Para iniciarmos vamos fazer download do pacote do Jailkit no seguinte link:

Jailkit:
http://olivier.sessink.nl/jailkit/jailkit-2.5.tar.bz2

PGP Signature:
http://olivier.sessink.nl/jailkit/jailkit-2.5.tar.bz2.sig

Descompacte o arquivo .tar.b2 na pasta /usr/src/ para ficar mais organizado.

Para instalar basta executar os famosos, configure, make, make install. :)

Vamos ao próximo e realmente interessante passo: configurar nosso primeiro Jail.

Página anterior     Próxima página

Páginas do artigo
   1. Prólogo
   2. Introdução - Jail Chroot e funcionalidades
   3. Iniciando o Projeto: Recursos necessários
   4. Montando a estrutura de Jail
   5. Projeto sob fogo: Testando o nosso sistema Jail
   6. Considerações finais
Outros artigos deste autor

Segurança no SSH via plugins da PAM

PaX: Solução eficiente para segurança em Linux

Análise Passiva: Analisando seu tráfego de maneira segura

Segurança extrema com LIDS: novos recursos

Análise passiva (parte 2)

Leitura recomendada

Apache2 + PHP5 com ModSecurity no Debian Squeeze

Sistema de gerenciamento de logs do Linux

Criptografia em roteadores

Instalação do Snort + BASE no Debian Etch pelos fontes

Introdução ao Anonimato na Web - Web Anonimity

  
Comentários
[1] Comentário enviado por alpkaiser em 20/02/2008 - 11:45h

Muito bom.

Mais uma vez um ótimo artigo que vem ajudar em muito na implementação de segurança em servidores Linux.

Parabéns.

[2] Comentário enviado por capitainkurn em 20/02/2008 - 11:49h

Ótimo artigo! Aliás gosto muito de seus artigos e frequentemente costumo tirar umas colas.
Já está em meus favoritos.

Parabéns!

[3] Comentário enviado por marcaoguitarra em 20/02/2008 - 12:32h

Bonzinho!!!
heheehe
muito bom cara, eu já tinha feito um apache em chroot mas não tão bem configurado assim, gostei desse jaill_kit...

[4] Comentário enviado por kalib em 20/02/2008 - 14:46h

A primeira coisa q me veio a cabeça foi um honey pott... rsrsrs
Parabéns pelo artigo camarada...o conteúdo está excelente, didático...
O conteúdo é bastante interessante...ainda não conhecia essa prática.
Parabéns novamente pelo excelente trabalho. ;]

[5] Comentário enviado por tinti em 21/02/2008 - 09:35h

Vc deitou cara!!! Muito bom!!!

[6] Comentário enviado por maran em 21/02/2008 - 21:12h

Assim eu fiquei pensando aqui né em como fazer um comentário, e cara não precisa dizer nada, simplesmente perfeito...

Abraços.

[7] Comentário enviado por removido em 25/02/2008 - 12:02h

Simplesmente fantástico!! Parabéns, com certeza utilizar Jails e Chroot é mais uma forma de mantermos nossos servicos mais seguros.

Continue postando novos artigos e utilizando a mesma didática.

Abracos.

[8] Comentário enviado por rfmartins em 01/03/2008 - 19:09h

fiz tudo que esta notutorial, mas quando crie o usuario, ele nao aparece no home.
verifiquei o /etc/passwd e o usuario esta da sequinte forma:

bandit:x:1002:1002::/home/bandit:/bin/sh

como posso ressolver isto ??

[9] Comentário enviado por danimontelo em 03/12/2009 - 12:13h

Excelente tutorial! Ajudou-me bastante em tornar mais seguro o acesso remoto aos servidores que administro.

Grata e abraços, Dani

[10] Comentário enviado por carlosparisotto em 25/08/2014 - 09:26h

Primeiramente, muito bom o artigo.
Estou usando essa ferramenta há um tempo já, porém agora estou precisando fazer um SSH sem senha
para um desses usuários enjaulados e não estou conseguindo. Sabe se é possível? Se já conseguiste
fazer, favor passar o procedimento, pois estou fazendo o mesmo procedimento que para um usuário
comum e não está funcionando. Obrigado

[11] Comentário enviado por carlosparisotto em 25/08/2014 - 11:11h

Opa, descobri que o problema na verdade é o meu SELinux, então já entra em outro tópico. Vou verificar. Valeu!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts