Hvordan opprette en SSH-fengslet bruker på Debian 9

Hvordan opprette en SSH-fengslet bruker på Debian 9 Lær hvordan du kan begrense hva SSH-brukere kan gjøre ved å fengsle dem ved hjelp av Jailkit.

Når du har en Linux-server som lar brukere sikre seg shell, kan det være lurt å ta kontroll over hvilke filer og kommandoer disse brukerne kan få tilgang til. Hvordan gjør du det? Du lager et chroot fengsel for dette formålet. Når fengselet er opprettet, og en bruker er lagt til fengselet, blir de låst i fengselet og kan ikke få tilgang til resten av katalogstrukturen.

Mer om nettverk

  • 7 nettverksvarslinger for 2020: Automatisering, edge computing, Wi-Fi 6, mer
  • 8 datasenterprognoser for 2020
  • Topp 11 lagringstrender de siste 20 årene
  • 5G mobilnett: Et jukseark

En måte å få dette til er med Jailkit. Jailkit er et sett med verktøy for å begrense brukertilgang ved hjelp av chroot. Jeg skal lede deg gjennom prosessen med å installere Jailkit på Debian 9, og deretter hvordan du fengsler en bestemt bruker.

Hva trenger du

Det eneste du trenger for å få dette til å fungere, er:

  • Et løpende eksempel på Debian 9.
  • En brukerkonto med sudo-tilgang.

Installasjon

Jailkit finnes ikke i standardlagringsplassene, så installasjonen er litt mer involvert enn den vanlige oppgaven. Den første tingen å gjøre er å installere de nødvendige avhengighetene. Åpne et terminalvindu, su til rotbrukeren, og utgi følgende kommando:

 apt-get install build-essential autoconf automake1.11 libtool flex bison debhelper binutils-gold python wget -y 

Når kommandoen ovenfor er fullført, kan du laste ned og pakke ut den nyeste versjonen av Jailkit (fra og med dette skrivet, 2.20) med kommandoene:

 cd ~ / tmp wget http://olivier.sessink.nl/jailkit/jailkit-2.20.tar.gz tar xvfz jailkit-2.20.tar.gz cd jailkit-2.20 

Nå kan vi installere Jailkit med følgende kommandoer:

 ekko 5> debian / compat ./debian/rules binary cd .. dpkg -i jailkit_2.20-1_amd64.deb 

Det er det, Jailkit er nå installert og klar til bruk.

Opprett og fengsl en ny bruker

Vi kommer til å teste dette ut på en ny bruker (siden vi ikke vil låse ut en vanlig bruker ved en feiltakelse). La oss lage brukeravviken med kommandoen:

 useradd devin 

Svar på de nødvendige spørsmålene for å fullføre tillegget til brukeren.

Nå skal vi opprette fengselet for vår nye bruker. Gi kommandoen:

 mkdir / fengsel 

Med katalogen som er opprettet for fengselet, skal vi legge til noen få kommandoer som vil bli tillatt av Devin. La oss anta at Devin bare trenger tilgang til et ganske grunnleggende sett med kommandoer (for eksempel basicshell, jailkit-begrenset skall, netutils, ssh, scp og sftp). Hvis du vil legge til disse kommandoene i fengselet, utgir du kommandoen:

 jk_init -v / fengsel netutils basicshell jk_lsh ssh scp sftp 

Hvis du får en feil med å angi kildefilen / usr / lib / misc / sftp-server ikke eksisterer, må du gjøre følgende:

  1. Gi kommandoen nano /etc/jailkit/jk_init.ini .
  2. Se etter sftp -delen.
  3. Endre / usr / libexec / openssh / sftp-server til / usr / lib / openssh / sftp-server .
  4. Lagre og lukk filen.

Nå må vi legge brukeren til fengselet med kommandoen:

 jk_jailuser -m -j / fengsel / devin 

Når brukeren er lagt til fengselet, hvis du prøver å ssh inn i maskinen med den brukeren, vil du bli slått ut igjen. Hvorfor? Fordi den brukeren ikke har et konfigurert skall. For å gjøre det, må vi endre en enkelt fil. Gi kommandoen:

 nano / fengsel / etc / passwd 

Se etter linjen som starter med devin og endre skalloppføringen fra:

 / Usr / sbin / jk_lsh 

Til:

 / Bin / bash 

Lagre og lukk den filen.

Når du prøver å sikre Shell inn i Debian 9-maskinen, som den fengslede brukeren, vil du finne deg selv i en begrenset chroot, der visse kommandoer ikke vil fungere og brukeren ikke kan bevege seg utenfor fengselet ( figur A ).

Figur A: Selv om / datakatalogen eksisterer, har devin ikke tilgang til den.

Og det er slik du oppretter en SSH-fengslet bruker på Debian 9. Det er mye mer å hente fra Jailkit-verktøyet, men du har nå en grunnleggende forståelse av hvordan du oppretter brukere og deretter fengsler dem med dette nyttige verktøyet.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com