Discussion :

[Lepetitpanda]

Bonjour à tous !

J'aurais une question qui peut surement vous sembler "basique" mais en dehors de SSH et du ChrootDirectory pour crée une prison (souvent dans le dossier /home/nomutilisateur ou un équivalent dans une zone ou l'utilisateur ne peut rien faire d'autres), comment faire en sorte que le système en lui-même soit sécurisé (linux : pour ma part Debian), defois qu'il arrive par ses connaissances à s'échapper de la prison.

Je m'explique j'ai l'utilisateur "root" accessible que par la commande su - et l'utilisateur crée à l'installation. Quand je crée un nouvel utilisateur avec useradd -m nomutilisateur et que je lui crée un mot de passe (pour activé son compte), celui-ci a toujours accès a la racine de linux et à tous les dossiers en dehors de ceux bloquer pour tous les utilisateurs sauf le root.

J'aimerais lui donner l'accès qu'a son dossier "prison" et aux fichiers nécessaire au bon fonctionnement de son compte. Pas de vadrouille dans le /etc/apache2/fichierdeconfig par exemple (l'utilisateur www-data de apache2 par exemple aura les accès nécessaire pour faire tourner le serveur et afficher les pages web, etc ... ).

Auriez-vous un tuto complet/ une explication complète sur la sécurisation interne (hors connexion, etc ssh). Le mieux, m'a t'ont dit été de mettre le minimum de droits aux utilisateurs mais quel sont t'ils avant d'avoir des risque de dysfonctionnement ?

Merci d'avance pour votre aide

LepetitPanda

[Philippe Dpt35]

2 pistes :

• n'octroyer à l'utilisateur qu'un bash restreint
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  chsh -s /bin/rbash nom-utilisateur

• ne permettre aucun accès à un terminal à ton utilisateur
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  chsh -s /bin/false nom-utilisateur

[Lepetitpanda]

Je vais déjà tester une | ces deux pistes.

[Lepetitpanda]

Je reviens vers vous pour vous dire que les deux solutions sont ok. J'utilise également le fichier /bin/nologin (équivalent à la solution chsh -s /bin/false nom-utilisateur en plus moderne visiblement puisqu'on peut afficher un message en plus) avec ssh aussi ^^.

Auriez-vous un tuto pour sécurisé l'accès des fichiers par n'importe quel utilisateur ? Je m’explique je crée un nouveau utilisateur avec juste le dossier de l'utilisateur dans /home/nomutilisateur il peut accèder au / (racine) (sauf si j'utilise bien sur Rbash ou nologin vu qu'il n'a plus accès ou a un accès limité aux commandes "ce qui limite le fait de pouvoir lui donner ls/autre commande pour naviguer dans son propre dossier sans qu'il en abuse pour aller dans le / et les fichiers de config ,etc=> dangereux car il peut tout connaitre du système donc des potentielles failles").

Y'a t'il des moyens pour bloquer par défaut l'accès à tous les dossier sans casser / avoir des problèmes avec le système et les services de base. J'ai déjà fais des recherches et j'ai vu l'utilisation de l'ACL mais cela ne reviens pas à juste supprimer les droits au fichier ? (x => limitation des accès aux dossier par exemple sur les dossiers à la racine pour les autres utilisateurs que root:root puisse lister / acceder aux dossiers / fichiers dedans.


Quels sont les dossiers vitales pour le bon fonctionnement du système sans bug ? Lequel ont peut limiter? (d'après certains même ETC ne peut pas être non accessible par les utilisateurs ).

Merci d'avance pour la réponse

[chrtophe]

Si ton système est correctement configuré, tu as accès aux fichiers des sous-dossiers / (exemple /bin, /usr/ var/ etc.), en lecture seule et sauf ceux sensibles comme /etc/shadow ou /etc/sudoers. Tes utilisateurs en ont besoin pour exécuter des commandes ne nécessitant pas de privilèges.

Tu peux regarder du coté de chroot, mais ça va dépendre de ce que sont censés faire tes utilisateurs. Si c'est des connexions sftp, tu chroote et nologin.
rbash est à mon avis contournable mais peut être une barrière simple.

[Lepetitpanda]

Par exemple si j 'ai plusieurs serveurs web sur la même machine vaut mieux qu'il ne puisse pas aller voir ailleurs si il arrive à échapper au chroot. Après Je posais cette question pour mettre une couche supplémentaire de sécurité en empechant l'utilisateur d'aller dans les config (dans /etc parr) pour connaitre la config de la machine et donc les potentielles failles pour se réintroduire.

Après j'applique par défaut cette politique, ceux qui n'ont pas besoin de commande je donne aucun accès à la console (nologin) pour les autres un chroot avec le risque qu'il en sache suffisamment pour faire n 'importe quoi sur la machine (apparemment y'a pas mal de moyen de contourner et faire le tour pour tout bloquer d'une première traite compliqué)

[chrtophe]

Si c'est pour des sites web, tu peux aussi les mettre dans des conteneurs Docker.