Re: Conectar desde clientes "enjaulados" vía SSH a MySQL.

To: debian-user-spanish@lists.debian.org
Subject: Re: Conectar desde clientes "enjaulados" vía SSH a MySQL.
From: Ramses II <ramses.sevilla@gmail.com>
Date: Wed, 24 Jan 2018 08:48:10 +0100
Message-id: <[🔎] CAABCiyCUCQ7D8doiqdDxyo7rm9-+uA=qmnYN616ryXqGi3cPuQ@mail.gmail.com>
In-reply-to: <2733215.qbf0MMzC2O@varitech>
References: <[🔎] AA2F0D18-3D5D-465D-BFF5-1DF960E2DAA0@gmail.com> <[🔎] 2386110.2CJm4fYpOP@varitech> <0CCBF016-D9FD-4242-815E-ADE9DD0DDB4B@gmail.com> <2733215.qbf0MMzC2O@varitech>

Matías, buenos días,

El día 23 de enero de 2018, 19:29, Matias Mucciolo
<mmucciolo@suteba.org.ar> escribió:
>
> On Tuesday, January 23, 2018 7:23:26 PM -03 Ramses wrote:
>> El 23 de enero de 2018 18:24:23 CET, Matias Mucciolo
> <mmucciolo@suteba.org.ar> escribió:
>> >On Tuesday, January 23, 2018 5:29:07 PM -03 Ramses wrote:
>> >> Hola a tod@s,
>> >>
>> >> Tengo instalado MySQL Server con su proceso habitual.
>> >>
>> >> Ahora quiero dar acceso a Clientes vía SSH, pero no quiero que esos
>> >
>> >usuarios
>> >
>> >> puedan ejecutar comandos de la Shell de Linux mediante el comando
>> >
>> >"system"
>> >
>> >> de MySQL.
>> >>
>> >> Parece ser que no hay forma de impedir los Usuarios de MySQL puedan
>> >
>> >ejecutar
>> >
>> >> el comando "system" y la única forma de limitar el uso de los
>> >
>> >comandos del
>> >
>> >> Shell de Linux es enjaular (chroot jail) estos Usuarios SSH, y sólo
>> >
>> >copiar
>> >
>> >> en la jaula los comandos que les permito y sus librerías asociadas.
>> >>
>> >> Bien, tengo ya el entorno "chroot jail" configurado y el Usuario SSH
>> >
>> >se
>> >
>> >> conecta.
>> >>
>> >> He copiado el fichero de arranque "/usr/sbin/mysql" en el directorio
>> >> "enjaulado".
>> >>
>> >> Con el comando "ldd /usr/sbin/mysql" averiguo las librerías asociadas
>> >
>> >y las
>> >
>> >> he copiado en el directorio "enjaulado".
>> >>
>> >> Ahora, cuando se conecta un Usuario "enjaulado" vía SSH y ejecuta,
>> >
>> >por
>> >
>> >> ejemplo, "/usr/sbin/mysql -u root -p", MySQL pide la password, pero
>> >
>> >al
>> >
>> >> introducirla, da un error de socket diciendo que no encuentra
>> >> "/var/run/mysqld/mysqld.sock", y ahí estoy estancado...
>> >>
>> >> ¿Hay alguien que haya hecho esto y pueda comentarme qué pasos me
>> >
>> >faltan por
>> >
>> >> hacer?
>> >>
>> >>
>> >> Gracias y saludos,
>> >>
>> >> Ramses
>> >
>> >obviamente se estan tratando de conectar mediante el socket
>> >que crea mysql y los clientes enjaulados no pueden acceder.
>> >creo que mysql tiene una opcion para que la "conexion"
>> >sea por tcp...eso deberia funcionar..
>> >
>> >saludos
>> >Matias
>>
>> Matías, gracias por contestar.
>>
>> Pero, ¿sabes si tengo que copiar algún fichero de configuración, como el
>> my.cnf a la "jaula"?.
>>
>> Hasta el momento sólo copiado programas y librerías al entorno "enjaulado".
>>
>> Y estoy buscando información tanto en Linux genérico y Debian, como en
>> MySQL, y no encuentro lo que me aclare este tema...
>>
>>
>> Saludos y gracias,
>>
>> Ramses
>
> no... no tenes que copiar nada...mientras que ande el binario de mysql.
>
> proba esto con el usuario enjaulado:
>
>
> mysql -u root -p --protocol=tcp
>
> asi no usa el socket y usa tcp.
> saludos
>

Bien, ejecutando el comando que me ponías:

----------------------------------------------------------------------------------------------------------------
-bash-4.2$ /usr/bin/mysql -u root -p --protocol=tcp
Enter password:
ERROR 2005 (HY000): Unknown MySQL server host 'localhost' (2)
-bash-4.2$
----------------------------------------------------------------------------------------------------------------

El error que da me imagino que es porque no está definido el fichero
"/etc/hosts" en la jaula, porque:

----------------------------------------------------------------------------------------------------------------
-bash-4.2$ /usr/bin/mysql -h 127.0.0.1 -u root -p --protocol=tcp
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 46
Server version: 5.5.59-0+deb7u1 (Debian)

Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>
mysql> quit
Bye
-bash-4.2$
----------------------------------------------------------------------------------------------------------------

Funciona.

Ahora sólo queda ver si hay forma de hacerlo por socket de MySQL.


Gracias y saludos,

Ramses

Reply to:

References:
- Conectar desde clientes "enjaulados" vía SSH a MySQL.
  - From: Ramses <ramses.sevilla@gmail.com>
- Re: Conectar desde clientes "enjaulados" vía SSH a MySQL.
  - From: Matias Mucciolo <mmucciolo@suteba.org.ar>

Prev by Date: Re: Conectar desde clientes "enjaulados" vía SSH a MySQL.
Next by Date: Re: Conectar desde clientes "enjaulados" vía SSH a MySQL.
Previous by thread: Re: Conectar desde clientes "enjaulados" vía SSH a MySQL.
Next by thread: Directorio boot
Index(es):
- Date
- Thread