On Sun, 19 Jan 2003, David Prieto Marcos wrote: > Necesito hacer una jaula chroot para los usuarios por ssh, para > que no puedan salir de su jaula y andar libremente por el sistema. Por > la poca documentacion que he encotrado sobre el tema se que en lugar de > copiar todos los archivos y librerias necesarias en cada cuenta de > usuario que estaria en jaulas, con mount --bind se pueden montar > directorios ya montados del sistema en las jaulas en modo de solo > lectura. Con ACLs se restringirian los accesos a archivos y comandos. > Pero no se ni por donde empezar, he hecho unas pruebas pero no me > funciona. El sshd estaria en la jaula en la que estubieran los usuarios? > �Seria una jaula para todos los usuarios o una jaula por cada usuario? > En definitiva aver si alguien me pudiera explicar un poco el temas este > o si alguien ha montado algo parecido que me pudiera decir como. > > Un saludito de antemano.
Efectivamente usando chroot se puede hacer que una shell arranque tomando como directorio raiz uno de los subdirec- torios del sistema. Esto implica que a partir de ese sub- directorio hay que montar absolutamente todo lo necesario para que un sistema funcione limitando la funcionalidad a la estrictamente necesaria para los usuarios elegidos. Tendr�as que configurar los directorios (bin, dev, etc, home, lib, tmp, var) colgando del nuevo directorio raiz y dejando el m�nimo de ficheros imprescindibles para que los usuarios puedan funcionar. A todos los efectos para el usuario solo existir� ese nuevo sistema y el resto es como si no existiera pero nue- vamente tienes que ser consciente de que el acceso a un servicio vulnerable, o a un ejecutable stuid vulnerable permitir�n que el atacante escape de esta caja lograda con chroot. Entre otras consideraciones no deber�a quedar ni un solo ejecutable con setuid o stegid. Ser�a muy largo de detallar la configuraci�n de un sistema de este tipo pero en caso de dudas elimina todo lo que parezca innecesario porque en caso de que surja la necesidad de incluirlo podr�s hacerlo m�s tarde sin dificultad. Como ves tu jaula es bastante flojita. Hay que currarselo muy bien para tapar un mont�n de agujeros y puede que un t�o bien preparado se te cuele por donde menos te lo piensas. Vigila que ninguno de tus usuarios use claves de acceso demasiado triviales. Bueno no me enrrollo m�s. Un saludo Antonio Castro +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ /\ /\ Ciberdroide Inform�tica (Tienda de Linux) \\W// <<< http://www.ciberdroide.com >>> _|0 0|_ +-oOOO--(___o___)--OOOo----------------------------------------------------+ | . . . . U U . . . . Antonio Castro Snurmacher [EMAIL PROTECTED] | | . . . . . . . . . . | +()()()----------()()()----------------------------------------------------+ | *** 1.700 sitios clasificados por temas sobre Linux en ***Donde_Linux*** | | <<< http://www.ciberdroide.com/misc/donde/dondelinux.html >>> | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
