Usuarios Enjaulados

[[Categoría:Networking]] [[Categoría:Linux]] [[Categoría:Seguridad]]

El JailKit es un conjunto de heraamientas que aprobecha la metodologia de chroot (cambio de directorio raiz), en la que el usuario hace login en un medio aislado del sistema operativo base;: normalmente el metodo se utiliza para crear ambientes de compilacion limpio para creacion de paquetes o sistemas operativos a medida; pero se puede utilizar para dar a los usuarios un entorno cerrado para servicios especificos por acceso remoto, brindando asi mayor seguridad al sistema base y a la red a la que pertenece.

Para su configuracion en CEntOS 5.5 se requiere:

[root@centos ~]# wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.1-1.el5.rf.x86_64.rpm

[root@centos ~]# rpm -Uhv rpmforge-release-0.5.1-1.el5.rf.x86_64.rpm

[root@centos ~]# yum install jailkit

una vez instalado se procede a indicar los servicios q se enjaularan

[root@centos ~]# jk_init -v -j /0jailbpm jk_lsh ssh sftp scp

lo siguente es adicionar las herramientas q se utilizaran (esto copia tambien las dependencias de ellas) en caso de existir se reemplaza/actualiza

[root@centos ~]# jk_cp -v -f /0jailbpm /bin/bash
[root@centos ~]# jk_cp -v -f /0jailbpm /bin/chmod /bin/chown /bin/chgrp
[root@centos ~]# jk_cp -v -f /0jailbpm /usr/bin/mc /usr/bin/mcedit /usr/bin/mcview
[root@centos ~]# jk_cp -v -f /0jailbpm /usr/share/terminfo
[root@centos ~]# jk_cp -v -f /0jailbpm /usr/bin/zip /usr/bin/gzip /usr/bin/gunzip
[root@centos ~]# jk_cp -v -f /0jailbpm /bin/tar /usr/bin/bzip2 /usr/bin/bzip2recover /usr/bin/bunzip2
[root@centos ~]# jk_cp -v -f /0jailbpm /bin/ps /bin/grep /bin/ls /usr/bin/id /bin/vi /bin/vim /bin/touch /usr/bin/groups
[root@centos ~]# jk_cp -v -f /0jailbpm /usr/bin/pgadmin3 /usr/bin/pg_config /usr/bin/pg_controldata /usr/bin/pg_ctl
[root@centos ~]# jk_cp -v -f /0jailbpm /usr/bin/pg_dump /usr/bin/pg_dumpall /usr/bin/pg_md5 /usr/bin/pg_restore
[root@centos ~]# jk_cp -v -f /0jailbpm /usr/bin/pg_resetxlog /usr/bin/initdb

se añade el usuario al sistema base, se le asigna password, se verifica si se añadio al /etc/passwd, y se copia la linea al entorno enjaulado

[root@centos ~]# useradd bpm
[root@centos ~]# passwd bpm
[root@centos ~]# cat /etc/passwd | grep bpm
bpm:x:500:500::/home/bpm:/bin/bash
[root@centos ~]# cat /etc/passwd | grep bpm » /0jailbpm/etc/passwd

a continuacion se añade al usuario al entorno enjaulado y se verifica

[root@centos ~]# jk_jailuser -m -j /0jailbpm bpm
[root@centos ~]# cat /0jailbpm/etc/passwd | grep bpm
bpm:x:500:500::/home/bpm:/bin/bash

y se añade lo siguiente a /0jailbpm/etc/jailkit/jk_lsh.ini

[root@centos ~]# cat /0jailbpm/etc/jailkit/jk_lsh.ini
[bpm]
paths= /usr/bin, /usr/lib/
executables= /usr/bin/scp, /usr/libexec/openssh/sftp-server

[root@centos ~]# echo "export TERMINFO=/opt/share/terminfo" » /0jailbpm/home/bpm/.bash_prifile
[root@centos ~]# echo "export TERM=xterm-color" » /0jailbpm/home/bpm/.bash_prifile

==== Referencias ====

Unless otherwise stated, the content of this page is licensed under GNU Free Documentation License.