Le chroot simplement

Support Debian
#1

Bonjour, toutes les indications que j’ai lues sur le chroot ont l’air compliquées.
J’ai lû un tuto simple qui se limite à modifier le sshd_config par contre l’utilisateur à accès aux autres dossiers qui sont à l’intérieur de home
#chroot utilisateur1 Match User le_nom_utilisateur1 ChrootDirectory /home AllowTCPForwarding no X11Forwarding no ForceCommand internal-sftp
https://www.how-to.ovh/viewtopic.php?t=113

avec cette tactique l’utilisateur harrypotter peut cheminer dans le répertoire de batman…
j’aimerais savoir s’il y a un moyen d’éviter qu’harrypotter lise le répertoire de batman et même d’ouvrir ses fichiers !!!
merci :slight_smile:

#2

par exemple le tuto debian-fr.xyz me donne une erreur à la ligne
install -D $1 $2$1 for i inldd $1 | grep -o '/[^[:space:]]*'; do
au moment de copier le fichier copie_binaire :confused: https://wiki.debian-fr.xyz/Serveur_sftp_%2Brssh%2Bchroot

#3

Je parie sur une mise en forme foireuse de la page du wiki.
Dans le script que tu es censé faire il devrait y avoir :

#!/bin/bash
install -D $1 $2$1 for i in `ldd $1 | grep -o '/[^[:space:]]*'`; do
      if [ ! -e $2$i ]; then install -D $i $2$i; fi
done
#4

c’est exactement ce que j’ai sur le serveur
j’obtiens

./copie_binaire: ligne 2: erreur de syntaxe près du symbole inattendu “do”

mais de mon côté j’ai pû bricoler une solution je ne sais pas si elle est propre par contre je vous fais confiance pour me le dire
donc suite aux info donnés par https://www.howtoforge.com/restricting-users-to-sftp-plus-setting-up-chrooted-ssh-sftp-debian-squeeze sur la raison de l’impossibilité de préciser le dossier utilisateur comme chroot dans le sshd_config j’ai décidé de créé dans chaque dossier utilisateur un autre dossier utilisateur du type /home/batman/batman
et j’ai donné au premier dossier batman l’appartenance à root, ce qui fait que dans le sshd_config je lui dit de chrooter a partir de la racine /home/batman au lieu de home, et comme ca c’est super harry potter ne peut plus lire les fichiers secrets de batman :smiley: quel voyou !

#5

De toutes les manières, par défaut sous Debian, tout le monde peut accéder au sous-répertoire des utilisateurs non privilégiés (CAD non root) dans /home .

En effet, les répertoires propres à chaque utilisateur dans /home sont créés avec les permissions 755 ( rwxr-xr-x ), ainsi qu’indiqué dans le fichier /etc/adduser.conf avec la directive DIR_MODE=0755 .
Et comme le umask, par défaut, vaut 022 , un fichier de données créé dans /home/toto , admettons, sera créé avec les permissions 644 ( rw-r–r-- ) et sera donc également lisible par tout le monde.

Si l’on souhaite que les documents propres à chaque utilisateur ne soient pas lisibles par tout un chacun, il faut passer la directive DIR_MODE à 750 ( rwxr-x— ) au lieu de 755. Puis appliquer ces permissions au répertoires déjà créés dans /home .

AMHA, c’est une modification de base à apporter à un Debian installé sur un serveur.
Inutile de se préoccuper de mettre les serveurs en chroot ou autre alors que ce n’est pas modifié.


AnonymousCoward

#6

Je vais faire le test de ce pas.
Mais ca risque pas de poser problème pour de l’hébergement web d’enlever le 5 de 755?

PS : de toute façon comme le dossier utilisateur appartient maintenant à l’admin je suis obligé de laisser chmod 755 sinon l’utilisateur ne peut plus se connecter en ftp… je maintiens la question pour l’accès web…