Jay Ar a écrit : Bonjour,Bonjour, J'ai fait cela il y qq temps.je mets en place l'architecture suivante: une machine externe, voulant accéder à mon serveur A, doit passer une authentification forte (ssh+qlq chose) en 1er, et après elle se retrouve sur mon erveur B, dans une prison SSH. de là, elle pourra rebondir finalement sur mon serveur A. je me garde un accès en admin (https) sur le serveur B. les 2 serveurs sont bien entendu des Debian. je voudrais sécuriser au maximum cette architecture. auriez-vous des idées à me donner, ou des sites ou des docs qui traitent de ce sujet? Je n'ai pas de pointeurs sous la main mais je peut te donner quelques indications. Globalement l'idée est de déja lister tous les binaires que vont utiliser les personnes loggués via ssh. Les librairies peuvent être identifiés avec ldpath je crois. - Une fois que tu as cela, il faut créer un répertoire /prison par exemple. - Dans ce répertoire tu place une copie de l'arborescence linux (générée via un outil qui copie les droits et les propriétaires (tar par exemple)). - Ensuite tu places les binaires, les biblio, et les fichiers de config *indispensables uniquement* dans l'arborescence /prison/bin /prison/sbin /prison/usr/bin /prison/usr/sbin pour les binaires, /prison/etc pour les fichiers de conf, etc... - Ensuite tu fais un chroot /prison, et puis un ssh-host-config pour configurer le repertoire /etc/ssh/ssh* comme il faut. - Tu appliques le debian-securing-howto sur cette nouvelle arborescence - Tu sors du chroot et tu modifie le fichier de démarrage pour qu'au lieu de lancer sshd il lance "chroot /prison /sbin/sshd". - Le tour est joué. Tu peux encore renforcer le nivau de sécurité en modifiant l'utilisateur qui fait tourner sshd. De rienMerci beaucoup! Jay Ar Fred et voip buster ?___________________________________________________________________________ Appel audio GRATUIT partout dans le monde avec le nouveau Yahoo! Messenger Téléchargez cette version sur http://fr.messenger.yahoo.com |