www.pc-kc.fr » rssh http://www.pc-kc.fr Le site pour garder le contact avec votre PC Tue, 07 Feb 2012 07:23:24 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 SFTP, chroot et pas de SSH : bloquer un utilisateur dans un répertoire http://michauko.org/blog/2010/09/27/sftp-chroot-et-pas-de-ssh-bloquer-un-utilisateur-dans-un-repertoire/ http://michauko.org/blog/2010/09/27/sftp-chroot-et-pas-de-ssh-bloquer-un-utilisateur-dans-un-repertoire/#comments Mon, 27 Sep 2010 08:15:21 +0000 michauko http://michauko.org/blog/?p=1099 Salut,
Un petit article sur ce sujet récurrent car il y a plein de méthodes, dont une assez simple, mais avec 2/3 points de paramétrage précis.
Le but est de permettre à un client/fournisseur d’envoyer/récupérer des fichiers sur un serveur, en SFTP, sans pour autant lui donner accès en SSH (exécuter des commandes) et sans voir autre part que son « home ».
Le tout sur un serveur SSH déjà monté et par ailleurs utilisé pour du SSH normal en interne, avec du SFTP normal aussi.

Il y a 3 méthodes courantes pour commencer à jouer avec les chroot ssh/sftp :

  • Héberger un serveur SSH en chroot normal : c’est chiant. Créer un « home », reproduire un minimum d’arborescence standard, d’utilisateurs etc.
  • Utiliser rssh comme shell alternatif, c’est un shell qui limite l’utilisateur à du SFTP, SCP, CVS, RSYNC etc. On choisit ce qu’on veut tolérer. Mais, l’utilisateur peut quand même se promener dans le système (tout « / »).
  • Enfin, ce que je vais décrire : utiliser la fonctionnalité de « chroot » intégrée aux serveurs SSH (serveur ssh >= 4.8, donc n’importe quel SSH d’une Debian stable de nos jours). On va simplement brider quelques comptes et mettre quelques permissions bien senties.

Adaptation d’un utilisateur

Le mieux est de prévoir large : on risque d’avoir plusieurs clients/fournisseurs qui voudront accéder.
On va donc créer un groupe des utilisateurs SFTP seulement, nommé « sftpusers ».
Je crée un utilisateur pour mon client, nommé xfer1, en changeant son home :

xfer1:x:1011:1012:Transfert client1,,,:/transferts_partenaires/xfer1/:bin/bash

Notez que le groupe 1012 est le groupe « sftpusers » :

$ id xfer1
uid=1011(xfer1) gid=1012(sftpusers) groupes=1012(sftpusers)

Création du répertoire d’échange, permissions

On crée l’arborescence qui va servir de home bidon à tout ces utilisateurs :

$ mkdir --parents /transferts_partenaires/xfer1/
$ chown -R root:sftpusers /transferts_partenaires/
$ chmod -R 750 /transferts_partenaires/

Les permissions ci-dessus sont hyper importantes. Le serveur SFTP refusera la connexion si le home de ces utilisateurs n’est pas en écriture uniquement pour le root ! Donc oui, en l’état, notre utilisateur xfer1:sftpusers ne peut pas écrire dans son home. Il pourra lire, ce qui peut être suffisant si vous lui mettez simplement des fichiers à disposition. Mais pour écrire, il faudra créer un sous-répertoire, genre « upload ».

mkdir /transferts_partenaires/xfer1/upload/
chown xfer1:sftpusers /transferts_partenaires/xfer1/upload/
chmod 700 /transferts_partenaires/xfer1/upload/

Déclaration du compte en SFTP uniquement

Enfin, on paramètre le serveur SSH comme suit. Modifiez votre fichier /etc/ssh/sshd_config :

# param par défaut, on change : Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem     sftp   internal-sftp -f AUTH -l VERBOSE

# plus loin...
Match Group sftpusers
        ChrootDirectory /transferts_partenaires/%u
        ForceCommand internal-sftp
        AllowTcpForwarding no
        GatewayPorts no
        X11Forwarding no

A noter que les AllowUsers/DenyUsers s’appliquent toujours. L’utilisateur xfer1 – ou plutôt les utilisateurs du groupe sftpusers – doivent être autorisés d’une manière ou d’une autre.
A noter aussi la beauté du geste avec le « %u » pour indiquer le nom de l’utilisateur.

Ensuite vous recharger le serveur SSH et testez les connexions SFTP et SSH-qui-passent-pas, sans oublier la distinction lecture/écriture.

]]> http://michauko.org/blog/2010/09/27/sftp-chroot-et-pas-de-ssh-bloquer-un-utilisateur-dans-un-repertoire/feed/ 0 Contourner un proxy (la suite…) ssh le retour http://www.pc-kc.fr/tutos/contourner-un-proxy-la-suite/ http://www.pc-kc.fr/tutos/contourner-un-proxy-la-suite/#comments Tue, 10 Feb 2009 12:53:28 +0000 admin http://www.pc-kc.fr/?p=25 Suite à quelques problèmes rencontrés récemment, en voyant qu’autour de moi certaines personnes avait des difficultés, qu’elles s’étaient auto bloqués derrière un firewall, ou derrière une livebox….

De ce fait il devient « impossible » pour moi de me connecter chez eux, puisque tout est bloqué.

Dans cette hypothèse il devient alors évident qu’il vaut mieux que ce soit eux qui établissent la connexion vers ma machine et non l’inverse.

Il convient donc de faire quelques petits aménagements sur putty et VNC

1. But :

Le but est de parvenir à ce Schéma :

schéma tunnel inversé

schéma tunnel inversé

2. Outils :

  • Plink, PSFTP, PSCP (les outils de PuTTY en version portable)
  • OpenSSH, (là j’explique pas de nouveau)
  • et si on peut considérer ça comme un outils CHROOT et SCPONLY

3. Mise en place de CHROOT :

là c’est simple (au début) il suffit de créer un environnement CHROOTé. En fait nous allons créer 2 utilisateurs :

  • le premier Remote qui n’aura le droit de faire que du SCP ou ou du SFTP, voir les 2 (là c’est vous qui déçidez…)
  • le deuxième Assistance qui ne pourra rien faire si ce n’est d’ouvrir une session et et un port sur votre machine.

#adduser remote

Le répertoire de remote devra ressembler au final à ça :


/home/remote
|-- etc
| |-- group
| `-- passwd
|-- lib
| |-- ld-linux.so.2
| `-- tls
| |-- libc.so.6
| |-- libcrypt.so.1
| |-- libdl.so.2
| |-- libnsl.so.1
| |-- libresolv.so.2
| `-- libutil.so.1
|-- remote.txt
`-- usr
|-- bin
| |-- rssh
| |-- scp
| `-- sftp
`-- lib
|-- i686
| |-- cmov
| `-- libcrypto.so.0.9.7
|-- libz.so.1
|-- rssh
| `-- rssh_chroot_helper
`-- sftp-server9 directories, 17 files

Pour arriver au résultat ci dessus, il faut commencer par créer les répertoires :


#mkdir /home/assistance/etc

Il faut répeter l’opération autant de fois qu’il y a de répertoires :’( , pour les fichiers la méthode à employer est la suivante :

# ldd /usr/bin/scp
libresolv.so.2 => /lib/tls/libresolv.so.2 (0x40027000)
libcrypto.so.0.9.7 => /usr/lib/i686/cmov/libcrypto.so.0.9.7 (0x40039000) libutil.so.1 => /lib/tls/libutil.so.1 (0x40139000)
libz.so.1 => /usr/lib/libz.so.1 (0x4013c000)
libnsl.so.1 => /lib/tls/libnsl.so.1 (0x4014e000)
libcrypt.so.1 => /lib/tls/libcrypt.so.1 (0x40162000)
libc.so.6 => /lib/tls/libc.so.6 (0x4018f000)
libdl.so.2 => /lib/tls/libdl.so.2 (0x402c4000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

dans ce cas il faut copier les fichiers renvoyés par la commande ldd vers le bon répertoire de l’utilisateur remote.

#cp /lib/tls/libresolv.so.2 /home/assistance/lib/tls

Il y a aussi d’autres méthodes « automatiques » que vous pourrez trouver su léa-linux là. ce tuto m’a d’ailleurs bien aidé pour faire cette manip, merci à son auteur.

Il faut aussi installer RSSH qui permet d’installer un shell très limité aux commandes SSH, du type scp ou sftp.

#apt-get install rssh

Puis il faut configurer rssh, il faut donc éditer le fichier suivant : /etc/rssh.conf et vérifier qu’il ne contient bien que ces lignes à l’intérieur.


 logfacility = LOG_USER
allowscp # pour autoriser la commande SCP
allowsftp # pour autoriser la commande SFTP
umask = 022
chrootpath="/home/remote"

Ensuite il faut affecter le bon shell à l’utilisateur.

vim /etc/passwd
remote:x:1003:1003:remote,,,:/home/remote:/usr/bin/rssh

maintenant vous pouvez tester la connexion avec l’utilisateur remote.

$ sftp remote@localhost
Connecting to localhost...
Password:
sftp> ls
. .. etc lib remote.txt usr
sftp>
  • Info : si vous faites le même test avec scp il se peut que vous ayez cette erreur : unknown user 1003 où 1003 est l’ID de votre utilisateur, je n’ai pas trouver comment résoudre cette erreur sachant que ça fonctionne depuis pscp sous windows.

#adduser assistance

Quant à assistance c’est encore plus simple dailleurs un simple copier coller des 2 répertoires suffit, toutefois il ne faut oublier de supprimer les choses en trop ;-)


/home/assistance
|-- .ssh
| |-- authorized_keys
| `-- remote.pub
|-- bin
| `-- bash
`-- lib
|-- ld-linux.so.2
|-- libc.so.6
|-- libdl.so.2
`-- libncurses.so.5

Toutefois il y a quand même quelques manipulations a effectuer, car dans l’état actuel, c’est plutôt bof :P .

Donc, il faut créer un « faux » shell


#vim /bin/chrootassistance
#!/bin/bash
exec -c /usr/sbin/chrootassistance_suid /home/$USER /bin/bash

Puis il faut changer les droits de l’utilisateur et copier le fichier chroot.

# chmod 755 /bin/chrootassistance
cp /usr/sbin/chroot /usr/sbin/chrootassistance_suid
chmod 4755 /usr/sbin/chrootassistance_suid

Enfin il ne faut pas oublier le contenu du fichier /etc/passwd

assistance:x:1004:1004:,,,:/home/assistance:/bin/chrootassistance

Ensuite tester la connexion :

su assistance
Password:
bash-2.05b$

Vous pouvez tenter de faire un ls, un cp, ou ce que vous voulez ce ne sera pas possible.

4. Créer les éléments de connexion :

Pour « sécuriser » un minimum la connexion il va falloir autoriser l’utilisateur externe à se connecter dans des conditions sécurisées.

il faut tout d’abord générer une paire de clef ssh

#ssh-keygen -b 2048 -t dsa -f Nom-Clef -N PassPhrase

ensuite pour que cette clef soit comprise par PuTTY il faut la convertir

$puttygen Nom-Clef -o remote.txt

le fichier remote.txt sera stocké à la racine de /home/remote attention c’est une clef privée, il faut donc la changer régulièrement et ne pas donner la passphrase à n’importe qui ;-)

puis vous copiez la clef Nom-Clef.pub dans /home/assistance/.ssh puis vous changez les droits sur cette clef

# chmod 64 /home/assistance/.ssh/Nom-Clef.pub
# cat Nom-Clef.pub > authorized_keys
# chmod 64 /home/assistance/.ssh/authorized_keys
  • Résumons :
    • Nous avons créer les 2 environnements CHROOTé
    • Nous sommes capables de nous connecter sur les 2 environnements
    • un utilisateur (remote) peut récupérer et copier des fichiers
    • un utilisateur (assistance) peut uniquement se connecter.

5. Changeons d’environnement :

Sous windows il suffit ensuite de récupérer la clef du premier environnement Chrooté pour cela 2 utilitaires sont disponibles avec putty, et tout dépend de ce que vous avez autorisez dans le fichier /etc/rssh.conf.

Au choix :


pscp -P 80 -pw MotDePasseUtilisateurChrooté UtilisateurChrooté@AdresseIP:/remote.txt remote.txt

psftp -P 80 UtilisateurChrooté@AdresseIP -pw MotDePasseUtilisateurChrooté -b script.scr

UtilisateurChrooté = remote (dans notre cas)
script.scr est un fichier texte qui contient les commandes a exécuter

get remote.txt remote.txt
bye

Ensuite grâce à l’utilitaire plink il suffit d’étblir la connection :


plink -P 80 -l Assistance -R AdresseIP:59000:localhost:5900 -i remote.ppk AdresseIP

AdresseIP : est l’adresse de votre PC (dépanneur)

Cette ligne a pour incidence d’ouvrir un port le 59000 sur le pc du dépanneur en sortant par le port 80 et en utilisant l’utilisateur Assistance et la clef remote.ppk

Par la suite il faut modifier les paramètres de VNC comme dans les écrans ci dessous afin d’autoriser le loopback et uniquement le loopback ce qui empêchera toute connexion à VNC autrement qu’en local sur le port 5900 :

Propriétés avancées pour le loopback
Propriétés avancées pour le loopback

Avec cette méthode tout est « sécurisé » la seule faille étant dans la première récupération de clef, mais il suffit de ne pas communiquer les mots de passe ainsi que la passe phrase autrement que par téléphone ou mail.

Certes la procédure peu paraître compliquée surtout pour le dépanné qui est supposé être novice en informatique, mais si on extrapole un peu il devient possible de créer un petit bout de soft avec NSIS, InnoSetup ou du Script, afin de simplifier la tâche de ce pauvre utilisateur, et automatiser tout ça ;-)

3 directories, 7 files

Propriétés de VNC pour le loopback
Propriétés de VNC pour le loopback
]]> http://www.pc-kc.fr/tutos/contourner-un-proxy-la-suite/feed/ 0