-
August 22nd, 2018, 22:15
#1
عضو جدید
ایجاد حساب کاربری ایزوله - SSH Jail
در این موضوع ما یک حساب کاربری خواهیم ساخت که در محیطی ایزوله مشغول به فعالیتهای خود باشد.
کاربردهای بسیاری برای ایجاد یک محیط ایزوله وجود دارد که این مقاله آن را پوشش نخواهد داد و فقط به نحوه ایجاد آن خواهد پرداخت.
- در این مقاله نام حساب کاربری برای مثال lithium وارد شده است، در محیط های عملیاتی آن را با مقادیر دلخواه تغییر دهید.
ابتدا یک حساب کاربری برای محیط ایزوله خواهیم ساخت!
در ادامه سطح دسترسی ها را تنظیم میکنیم...
کد:
chmod 755 /home
chmod 751 /home/lithium
- قرار دادن سطح دسترسی 751 به این جهت است که فرد امکان نوشتن در دایرکتوری مورد نظر را نداشته باشد!
در این مرحله اقدام به Bind کردن مسیرهای مورد نیاز میکنیم و برخی فایلهای موردنیاز نیز انتقال خواهیم داد:
کد:
mkdir -p /home/lithium/{bin, usr, etc, lib, lib64, dev, usr/{lib64, lib, local, share}, proc, sbin, private}
mount --bind /bin /home/lithium/bin
mount --bind /usr /home/lithium/usr
mount --bind /etc /home/lithium/etc
mount --bind /lib /home/lithium/lib
mount --bind /lib64 /home/lithium/lib64
mount --bind /dev /home/lithium/dev
mount --bind /usr/lib /home/lithium/usr/lib
mount --bind /usr/lib64 /home/lithium/usr/lib64
mount --bind /usr/local /home/lithium/usr/local
mount --bind /usr/share /home/lithium/usr/share
mount --bind /proc /home/lithium/proc
cp /sbin/consoletype /home/lithium/sbin
chmod 770 /home/lithium/private
سپس اجازه دیدن پروسسهای درحال اجرا توسط سایر کاربران را از این حساب خواهیم گرفت.
کد:
mount -o remount,rw,hidepid=2 /proc
جهت افزودن مدیریت دسترسیها، فایل /etc/ssh/sshd_config را باز کرده و محتوای زیر را در انتهای آن قرار خواهیم داد:
کد:
Match Group jailedssh
ChrootDirectory /home/%u
AllowTcpForwarding no
سپس حساب کاربری ساخته شده را به این گروه اضافه می کنیم:
کد:
usermod -G jailedssh lithium
سپس دستور زیر را اجرا میکنیم تا دایرکتوری مربوطه مشمول تغییر قرار گیرد:
کد:
awk '{gsub("/home/lithium", "");print}' /etc/passwd > /tmp/passwd.tmp
rm -rf /etc/passwd && mv /tmp/passwd.tmp /etc/passwd
در نهایت سرویس SSH Server را Restart کرده و میتوانیم اطلاعات حساب کاربری مربوطه را به فردی که میخواهیم بدهیم تا در محیط ایزوله ما مشغول به فعالیت شود!
در صورت بروز هرگونه مشکل، مشکل خود را در همین تاپیک مطرح کنید.
- با آرزوی خوش!
دانا باید از دانش خویش نادان را آگاه سازد، نشاید بیش از این نادان گمراه بماند.
(یسنا – هات ۳۱ بند ۱۷)
-
-
August 22nd, 2018 22:15
# ADS