Como fazer: chroot SSH (SSH mais seguro)

hra

Este tutorial explica como configurar um ambiente para o servidor sshd de forma que o usuário só tenha acesso ao seu diretório home e tenha o mínimo de comandos disponíveis, só o necessário para executar suas tarefas, assim incrementando a segurança.

[ Hits: 105.361 ]

Por: Hamilton R. Amorim em 15/10/2003 | Blog: http://www.algorista.tk


Introdução



Escrevi anteriormente um tutorial (how-to, como fazer) que explica como configurar um ambiente para o dosemu onde o usuário não tem acesso ao sistema de arquivos do servidor Linux, assim protegendo a integridade do sistema. Aquele tutorial foi escrito embasado em uma experiência real onde precisei montar um servidor de aplicações para um ERP escrito em Clipper. Naquele momento foi necessário criar um servidor que fosse o mais seguro o possível e que fornecesse o mínimo de acesso aos usuários, pois sempre tem algum espertinho que pega as receitinhas de bolo na internet e se acha "o hacker".

Recentemente, algumas pessoas me contactaram e pediram um tutorial de como fazer esse mesmo trabalho sem o dosemu, só com o ssh. Me parece algo estranhamente simples, esse tutorial será quase igual ao outro, só que com menos coisas a fazer.

Referência: Este tutorial explica como configurar um ambiente para o servidor sshd de forma que o usuário só tenha acesso ao seu diretório home e tenha o mínimo de comandos disponíveis, só o necessário para executar suas tarefas, assim incrementando a segurança.

Página anterior     Próxima página

Páginas do artigo
   1. Considerações iniciais
   2. Introdução
   3. Requisitos
   4. Criando a raíz
   5. Permissões dos arquivos
   6. Configurando o Linux
   7. Considerações finais
Outros artigos deste autor

cal2svg - brincando com shell script e arquivos vetoriais SVG

Como fazer: Chroot Dosemu (Clipper no Linux)

Porque tanta gente não usa o Linux? Será que o Linux é ruim mesmo?

A miséria social do Brasil e o software proprietário

Onde estão os programadores da era DOS?

Leitura recomendada

Monitorando máquinas Windows com o Nagios

Intrusão simples com Metasploit

Autenticação via hardware: o módulo pam_blue

Race Condition

Instalando Bind9 + chroot no Debian

  
Comentários
[1] Comentário enviado por fabio em 15/10/2003 - 09:46h

Excelente artigo! É a primeira vez que vejo algo falando sobre criação de "celas" ssh em Português.

[2] Comentário enviado por y2h4ck em 31/03/2004 - 13:51h

Bom fiz o teste aqui ... estou tendo uma pequena dificuldade nao sei se com permissoes ...
porem o quando me logo o usuario esta caindo fora do home dele ... okei

falow

[3] Comentário enviado por y2h4ck em 31/03/2004 - 13:59h

(root@unsekurity)(/)$ ssh -l guest localhost
guest@localhost's password:
Last login: Sat Mar 27 11:35:22 2004 from localhost
Have a lot of fun...
/bin/chroot-shell: Exec format error
Connection to localhost closed.

heys meu erro
meu /bin/chroot-shell esta igualzinho ao do seu explo
so tive que modificar o path do /usr/sbin/chroot para /usr/bin/chroot
espero que possa je ajudar :D

[4] Comentário enviado por peter_77_schultz em 20/11/2005 - 12:09h

Beleza Amilton! Pois é, voce já escreveu o artigo a quase dois anos e mesmo depois de tanto tempo e ainda desperta interesse.

No meu caso estou tentando instalar o Chroot SSH na minha máquina. Segui todos os passos que voce descreveu, mas no final eu nao consigo me logar na area chroot. Isso acontece tanto com o comando "su" quanto com o comando "ssh".

Eu nao obtenho nenhum erro. Mas toda vez que eu digito a senha a pergunta aparece novamente- "password:"

será que voce pode me dar uma força. Valeu, Peter

[5] Comentário enviado por tatototino em 19/08/2006 - 20:39h

no meu tb igual na do peter pede duas vezes a passwd /etc/passwd

pq pede vcs sabem ?

[6] Comentário enviado por apscherbach em 02/10/2006 - 16:50h

Comigo aqui está dando esse erro:

Usuário não existente. O que pode ser. O usuário está criado... claro, e os arquivos passwd e group copiados e modificados.

Adriano

[7] Comentário enviado por K1LL -9 em 15/11/2007 - 17:34h

Dúvida boba ( não tive tempo pra testar essa solução):

Obteria exito em executar algo ('uploadeado') usando a ld-2.2.5.so ?
Obteria né ?


[8] Comentário enviado por TigonesBuell em 04/09/2008 - 15:26h

Ignorante

[9] Comentário enviado por diesel em 04/11/2012 - 09:47h

Obrigado pela contribuição.
Me ajudou muito.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts