Petit tutoriel pour expliquer la mise en place d’un Chroot Jail afin d’emprisonner un utilisateur SSH dans son home.

Tout d’abords quelque préparations : il vous faudra openssh-server en version supérieur ou égale à 4.8p1 car l’option du fichier de configuration de sshd n’est pas présente avant cette version. Pour Ubuntu ou Debian cette version est présente depuis au moins le troisième trimestre 2008.

Donc on installe openssh-server :

sudo aptitude install openssh-server openssh-client

Rq : On installe ici aussi le client afin de faire des test en local.

Ensuite configurons sshd :

sudo nano /etc/ssh/sshd_config

tout en bas du fichier (et j’ai bien dit tout en bas) ajouter ces quelques lignes :

Match Group chrootssh
ChrootDirectory %h
AllowTcpForwarding no

Expliquons un peu ces lignes :

• Match Group chrootssh : on va dire ici que le groupe chrootssh va être configuré avec les règles supplémentaires suivantes.
• ChrootDirectory %h : Tous les utilisateurs faisant partie du groupe chrootssh seront chrooté dans leur home : ici et comme dans la configuration de samba %h signifie le dossier de l’utilisateur. Ainsi vous pouvez mettre par exemple /var/www/%u si vous voulez que vos utilisateurs soit chrooté dans un dossier portant leur nom dans /var/www
• AllowTcpForwarding no : on désactive tous ce qui est tunnel ssh, on veux pas que notre serveur serve de proxy socks ou autre au client qui se connecte.

Pour plus de renseignement sur la configuration de sshd_config reportez vous au man sshd_config ou bien à cette page du manuel d’openssh

On y est, normalement le fichier de configuration est lu à chaque connexion d’un user donc pas besoin de reload le service ssh, mais si vous voulez en être sûre :

sudo invoke-rc.d ssh reload

Rq : même si vous stoppé le service vos connexions en cours seront toujours « Alive » 🙂 jusqu’à ce que vous quittiez vos sessions bien sûr.

Ensuite passons aux choses sérieuses, la configuration d’un compte utilisateur Chrooté :

#On créé le groupe chrootssh
sudo addgroup chrootssh
#on rajoute l'utilisateur
sudo adduser monuserchrootssh
#on ajoute le user au groupe chrootssh
sudo adduser monuserchrootssh chrootssh

Nous allons maintenant créé sont environnement en utilisant un petit script un poil modifié par mes soins mais qui vient tout droit du paquet libpam-chroot :

#!/bin/bash

# Here specify the apps you want into the enviroment
APPS="/usr/bin/env /usr/bin/wget /usr/bin/clear /usr/bin/ftp /usr/bin/traceroute /usr/bin/host /bin/sh /bin/grep /bin/cat /usr/bin/vi /bin/gzip /bin/gunzip /usr/bin/less /usr/bin/tail /usr/bin/nslookup /usr/bin/resolveip /bin/bash /bin/ls /bin/mkdir /bin/mv /bin/pwd /bin/rm /usr/bin/id /usr/bin/ssh /bin/ping /usr/bin/dircolors /usr/bin/screen /bin/ps /bin/uname /bin/sed"

# Sanity check
if [ -z "$1" ]; then
echo "    Usage: $0 username"
exit
fi

# Obtain username and HomeDir
CHROOT_USERNAME=$1
HOMEDIR=`grep /etc/passwd -e "^$CHROOT_USERNAME:"  | cut -d':' -f 6`
cd $HOMEDIR

mkdir etc bin lib usr usr/bin dev
# We need as many tty's as consoles
/bin/mknod -m 666 dev/tty  c 5 0
/bin/mknod -m 644 dev/tty1 c 4 1
/bin/mknod -m 644 dev/tty2 c 4 2
/bin/mknod -m 644 dev/tty3 c 4 3
/bin/mknod -m 644 dev/tty4 c 4 4
/bin/mknod -m 644 dev/tty5 c 4 5
/bin/mknod -m 644 dev/tty6 c 4 6
#and pts
mkdir dev/pts
/bin/mknod -m 666 dev/pts/0  c 136 0
/bin/mknod -m 666 dev/pts/1  c 136 1
# Some special nodes, just for fun
/bin/mknod -m 444 dev/urandom c 1 9
/bin/mknod -m 666 dev/zero c 1 5
/bin/mknod -m 666 dev/null c 1 3

# Create short version to /usr/bin/groups
# On some system it requires /bin/sh, generally unnessesary in a chroot cage

echo "#!/bin/bash" > usr/bin/groups
echo "id -Gn" >> usr/bin/groups

# Add some users to ./etc/paswd
grep /etc/passwd -e "^root:" -e "^$CHROOT_USERNAME:" > etc/passwd
grep /etc/group -e "^root" -e "^$CHROOT_USERNAME:" > etc/group

#Settings prompt
cp /etc/profile etc/profile
cp -R /etc/bash* etc
echo "export HOME=/" >> etc/profile

for prog in $APPS;  do
    cp $prog ./$prog
    # obtain a list of related libraries
    ldd $prog > /dev/null
    if [ "$?" = 0 ] ; then
    LIBS=`ldd $prog`
    for l in $LIBS; do
        if [ -f $l ]; then
            mkdir -p .`dirname $l` > /dev/null 2>&1
            cp $l ./$l
        fi
    done
    fi
done

# For strange reason, these 3 libraries are not in the ldd output, but without
# them some stuff will not work, like usr/bin/groups
cp /lib/libnss_compat.so.2 /lib/libnsl.so.1 /lib/libnss_files.so.2 /lib/ld-linux.so.2 /lib/libresolv.so.2 /lib/libnss_dns.so.2 ./lib/
chmod 755 usr/bin/groups

cp /etc/host.conf ./etc/
cp /etc/hosts ./etc/
cp /etc/nsswitch.conf ./etc/
cp /etc/localtime ./etc/
cp /etc/resolv.conf ./etc/
cp /etc/services ./etc/
cp /etc/protocols ./etc/
mkdir ./etc/terminfo/
cp -R /etc/terminfo/* ./etc/terminfo/

find . -type d -exec chown -R root:root {} \;

 

Si vous êtes sous architecture 64 bits une erreur peut apparaitre :
cp: cannot stat `/lib/ld-linux.so.2′: No such file or directory
Copier donc votre librairie :

mkdir /home/monuserchrootssh/lib64
cp /lib64/ld-linux-x86-64.so.2 /home/monuserchrootssh/lib64

Elle est nécessaire pour faire fonctionner bash par exemple 🙂

Ligne 4 de ce fichier listez tous les exécutables que vous voulez donné à votre utilisateur, ici j’ai listez les plus courant dans une liste riquiqui.

Petit bémol mais peut être que quelqu’un pourra le résoudre : screen ne retrouve pas ses petits et ne peux pas démarré dans cette environnement, mais il semblerait qu’un mount –bind bien placé pour tous ce qui « pts » résoudrait l’affaire : a creuser donc…

il ne nous reste plus qu’à exécuter notre petit script. Donc vous avez bien sûre fait un :

cd
nano createchroot.sh
#on colle le contenu dans ce fichier
chmod +x ./createchroot.sh

Enfin nous créons l’envirronnement à l’aide de ce script :

sudo ./createchroot.sh monuserchrootssh

Si vous avez quelques erreurs disant que le programme n’existe pas c’est surement que l’un des exécutables donné dans la variable $APPS ligne 4 n’est pas installé, et que donc vous n’en avez pas besoin.

Si vous voulez controler que tout marche pour le mieux éxécuter sshd en mode devel :

sudo invoke-rc.d ssh stop
sudo /usr/sbin/sshd -d
#ctrl+c pour quitter

Voilà on y est loggé l’utilisateur pour faire un test :

ssh monuserchrootssh@localhost

Si vous avez pas d’erreur et un prompt faite :

pwd
#qui devrait affiché
# /
ls -al
#qui devrait vous afficher une petite arborescence tel que celle-ci:
#drwxr-xr-x 7 root root 4096 May 25 16:15 .
#drwxr-xr-x 7 root root 4096 May 25 16:15 ..
#-rw-r--r-- 1 root root 220 May 25 16:14 .bash_logout
#-rw-r--r-- 1 root root 3115 May 25 16:14 .bashrc
#-rw-r--r-- 1 root root 675 May 25 16:14 .profile
#drwxr-xr-x 2 root root 4096 May 25 16:15 bin
#drwxr-xr-x 2 root root 4096 May 25 16:15 dev
#drwxr-xr-x 3 root root 4096 May 25 16:15 etc
#drwxr-xr-x 4 root root 4096 May 25 16:15 lib
#drwxr-xr-x 4 root root 4096 May 25 16:15 usr

Si quelqu’un trouve un petite technique pour avoir le bon prompt aussi ça serait cool 🙂 car là on a le prompt de bash par défaut, et le .bashrc ne s’exécute pas.

Je suis ouvert à tout commentaires afin d’enrichir cette article, posez vos questions dans les commentaires ci-dessous 🙂