Re: Jaula chroot para cuentas por ssh

To: David Prieto Marcos <kerb@linexus.org>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: Jaula chroot para cuentas por ssh
From: Antonio Castro <acastro@ciberdroide.com>
Date: Mon, 20 Jan 2003 17:17:34 +0100 (CET)
Message-id: <[🔎] Pine.LNX.4.21.0301201700120.478-100000@midas.ciberdroide.com>
Reply-to: acastro@ciberdroide.com
In-reply-to: <[🔎] 20030119053016.GA999@linexus.org>

On Sun, 19 Jan 2003, David Prieto Marcos wrote:

> 	Necesito hacer una jaula chroot para los usuarios por ssh, para
> que no puedan salir de su jaula y andar libremente por el sistema. Por
> la poca documentacion que he encotrado sobre el tema se que en lugar de
> copiar todos los archivos y librerias necesarias en cada cuenta de
> usuario que estaria en jaulas, con mount --bind se pueden montar
> directorios ya montados del sistema en las jaulas en modo de solo
> lectura. Con ACLs se restringirian los accesos a archivos y comandos.
> Pero no se ni por donde empezar, he hecho unas pruebas pero no me
> funciona. El sshd estaria en la jaula en la que estubieran los usuarios?
> ¿Seria una jaula para todos los usuarios o una jaula por cada usuario?
> En definitiva aver si alguien me pudiera explicar un poco el temas este
> o si alguien ha montado algo parecido que me pudiera decir como. 
> 
> 	Un saludito de antemano.

Efectivamente usando chroot se puede hacer que una shell
arranque tomando como directorio raiz uno de los subdirec-
torios del sistema. Esto implica que a partir de ese sub-
directorio hay que montar absolutamente todo lo necesario
para que un sistema funcione limitando la funcionalidad a
la estrictamente necesaria para los usuarios elegidos.

Tendrías que configurar los directorios (bin, dev, etc,
home, lib, tmp, var) colgando del nuevo directorio raiz y
dejando el mínimo de ficheros imprescindibles para que los
usuarios puedan funcionar.

A todos los efectos para el usuario solo existirá ese
nuevo sistema y el resto es como si no existiera pero nue-
vamente tienes que ser consciente de que el acceso a un
servicio vulnerable,  o a un ejecutable stuid vulnerable
permitirán que el atacante escape de esta caja lograda con
chroot.

Entre otras consideraciones no debería quedar ni un solo
ejecutable con setuid o stegid. Sería muy largo de detallar
la configuración de un sistema de este tipo pero en caso
de dudas elimina todo lo que parezca innecesario porque
en caso de que surja la necesidad de incluirlo podrás
hacerlo más tarde sin dificultad. 

Como ves tu jaula es bastante flojita. Hay que currarselo
muy bien para tapar un montón de agujeros y puede que un
tío bien preparado se te cuele por donde menos te lo piensas.

Vigila que ninguno de tus usuarios use claves de acceso 
demasiado triviales. Bueno no me enrrollo más.

Un saludo

Antonio Castro

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
 /\ /\ Ciberdroide Informática (Tienda de Linux)
 \\W// <<< http://www.ciberdroide.com >>>
	 _|0 0|_ 
+-oOOO--(___o___)--OOOo----------------------------------------------------+ 
| . . . . U U . . . . Antonio Castro Snurmacher acastro@ciberdroide.com | 
| . . . . . . . . . . | 
+()()()----------()()()----------------------------------------------------+
| *** 1.700 sitios clasificados por temas sobre Linux en ***Donde_Linux*** |
| <<< http://www.ciberdroide.com/misc/donde/dondelinux.html >>> |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

Reply to:

References:
- Jaula chroot para cuentas por ssh
  - From: David Prieto Marcos <kerb@linexus.org>

Prev by Date: Tarjetas de captura de video
Next by Date: Re: NVidia en woody
Previous by thread: Re: Jaula chroot para cuentas por ssh
Next by thread: log_clean
Index(es):
- Date
- Thread