[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Prison SSH





Jay Ar a écrit :
Bonjour,

  
Bonjour,
je mets en place l'architecture suivante:
une machine externe, voulant accéder à mon serveur A,
doit passer une authentification forte (ssh+qlq chose)
en 1er, et après elle se retrouve sur mon erveur B,
dans une prison SSH. de là, elle pourra rebondir
finalement sur mon serveur A.
je me garde un accès en admin (https) sur le serveur
B.

les 2 serveurs sont bien entendu des Debian.

je voudrais sécuriser au maximum cette architecture.
auriez-vous des idées à me donner, ou des sites ou des
docs qui traitent de ce sujet?

  
J'ai fait cela il y qq temps.

Je n'ai pas de pointeurs sous la main mais je peut te donner quelques indications.

Globalement l'idée est de déja lister tous les binaires que vont utiliser les personnes loggués via ssh. Les librairies peuvent être identifiés avec ldpath je crois.

- Une fois que tu as cela, il faut créer un répertoire /prison par exemple.
- Dans ce répertoire tu place une copie de l'arborescence linux (générée via un outil qui copie les droits et les propriétaires (tar par exemple)).
- Ensuite tu places les binaires, les biblio, et les fichiers de config *indispensables uniquement* dans l'arborescence /prison/bin /prison/sbin /prison/usr/bin /prison/usr/sbin pour les binaires, /prison/etc pour les fichiers de conf, etc...
- Ensuite tu fais un chroot /prison, et puis un ssh-host-config pour configurer le repertoire /etc/ssh/ssh* comme il faut.
- Tu appliques le debian-securing-howto sur cette nouvelle arborescence
- Tu sors du chroot et tu modifie le fichier de démarrage pour qu'au lieu de lancer sshd il lance "chroot /prison /sbin/sshd".
- Le tour est joué.

Tu peux encore renforcer le nivau de sécurité en modifiant l'utilisateur qui fait tourner sshd.
Merci beaucoup!
Jay Ar
  
De rien
Fred
___________________________________________________________________________ 
Appel audio GRATUIT partout dans le monde avec le nouveau Yahoo! Messenger 
Téléchargez cette version sur http://fr.messenger.yahoo.com
  
et voip buster ?

Reply to: