Pular para o conteúdo

Jails em SSH: Montando sistema de Shell Seguro

Neste artigo vamos aprender a criar sistemas de Jail em SSH e assim separar recursos a usuários shell de acordo com suas necessidades, criando um ambiente secundário, o que aumenta a segurança na disponibilização de acessos remotos a terceiros.
Anderson L Tamborim y2h4ck

Por Anderson L Tamborim em 19/02/2008

Hits: 68.804 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Parte 3: Iniciando o Projeto: Recursos necessários

A primeira coisa que deve ser definida quando se vai montar a estrutura de chroot para usuários SSH é:
  • Definir grupos de acesso de acordo com as necessidades que cada grupo irá ter ao acessar o seu determinado Jail;
  • Definir o escopo de ação que cada Jail vai ter de forma concisa e limitada, evitando sempre excessos.

Você pode criar diversos Jails independentes e em cada um configurar determinados softwares que podem ser executados.

Iremos criar um para o nosso laboratório onde o usuário irá utilizar somente um Shell Básico, alguns editores de texto e vamos dar a ele acesso via SCP e SFTP.

Para nosso artigo utilizaremos o pacote JailKit.

O Jailkit é um set de utilitários para limitar user accounts à acessar arquivos ou comandos específicos utilizando a função chroot().

Para iniciarmos vamos fazer download do pacote do Jailkit no seguinte link:

Jailkit:
http://olivier.sessink.nl/jailkit/jailkit-2.5.tar.bz2

PGP Signature:
http://olivier.sessink.nl/jailkit/jailkit-2.5.tar.bz2.sig

Descompacte o arquivo .tar.b2 na pasta /usr/src/ para ficar mais organizado.

Para instalar basta executar os famosos, configure, make, make install. :)

Vamos ao próximo e realmente interessante passo: configurar nosso primeiro Jail.

Páginas do artigo

   1. Prólogo
   2. Introdução - Jail Chroot e funcionalidades
   3. Iniciando o Projeto: Recursos necessários
   4. Montando a estrutura de Jail
   5. Projeto sob fogo: Testando o nosso sistema Jail
   6. Considerações finais

Outros artigos deste autor

Carnivore e Altivore: Os predadores do FBI

PortSentry: Melhorando a segurança do seu Linux

Segurança no SSH via plugins da PAM

OpenVZ: Virtualização para servidores Linux

Snort avançado: Projetando um perímetro seguro

Leitura recomendada

Terceirização de segurança gera dúvidas em profissionais de TI

Snort_INLINE: Proteção total

Integridade dos arquivos do sistema

PFSense com Snort

Implementando uma política de segurança eficaz

Comentários

#1 Comentário enviado por alpkaiser em 20/02/2008 - 11:45h
Muito bom.

Mais uma vez um ótimo artigo que vem ajudar em muito na implementação de segurança em servidores Linux.

Parabéns.
#2 Comentário enviado por capitainkurn em 20/02/2008 - 11:49h
Ótimo artigo! Aliás gosto muito de seus artigos e frequentemente costumo tirar umas colas.
Já está em meus favoritos.

Parabéns!
#3 Comentário enviado por marcaoguitarra em 20/02/2008 - 12:32h
Bonzinho!!!
heheehe
muito bom cara, eu já tinha feito um apache em chroot mas não tão bem configurado assim, gostei desse jaill_kit...
#4 Comentário enviado por kalib em 20/02/2008 - 14:46h
A primeira coisa q me veio a cabeça foi um honey pott... rsrsrs
Parabéns pelo artigo camarada...o conteúdo está excelente, didático...
O conteúdo é bastante interessante...ainda não conhecia essa prática.
Parabéns novamente pelo excelente trabalho. ;]
#5 Comentário enviado por tinti em 21/02/2008 - 09:35h
Vc deitou cara!!! Muito bom!!!
#6 Comentário enviado por maran em 21/02/2008 - 21:12h
Assim eu fiquei pensando aqui né em como fazer um comentário, e cara não precisa dizer nada, simplesmente perfeito...

Abraços.
#7 Comentário enviado por removido em 25/02/2008 - 12:02h
Simplesmente fantástico!! Parabéns, com certeza utilizar Jails e Chroot é mais uma forma de mantermos nossos servicos mais seguros.

Continue postando novos artigos e utilizando a mesma didática.

Abracos.
#8 Comentário enviado por rfmartins em 01/03/2008 - 19:09h
fiz tudo que esta notutorial, mas quando crie o usuario, ele nao aparece no home.
verifiquei o /etc/passwd e o usuario esta da sequinte forma:

bandit:x:1002:1002::/home/bandit:/bin/sh

como posso ressolver isto ??
#9 Comentário enviado por danimontelo em 03/12/2009 - 12:13h
Excelente tutorial! Ajudou-me bastante em tornar mais seguro o acesso remoto aos servidores que administro.

Grata e abraços, Dani
#10 Comentário enviado por carlosparisotto em 25/08/2014 - 09:26h
Primeiramente, muito bom o artigo.
Estou usando essa ferramenta há um tempo já, porém agora estou precisando fazer um SSH sem senha
para um desses usuários enjaulados e não estou conseguindo. Sabe se é possível? Se já conseguiste
fazer, favor passar o procedimento, pois estou fazendo o mesmo procedimento que para um usuário
comum e não está funcionando. Obrigado
#11 Comentário enviado por carlosparisotto em 25/08/2014 - 11:11h
Opa, descobri que o problema na verdade é o meu SELinux, então já entra em outro tópico. Vou verificar. Valeu!

Contribuir com comentário

Entre na sua conta para comentar.