[FRsAG] : ssh utilisateur virtuel chrooté
Bonjour, Je suis confronté au cahier des charges suivant pour lequel j'ai du mal a répondre et pourtout tous les monde à du y être confronté - donner un accès ssh à des utilisateurs virtuels (cas des hébergement tournant en mode PHP où tout appartient à apache: pas de user systeme) - confiner les users virtuels dans un $HOME - ne pas avoir à copier toutes les librairies dynamiques dans $HOME pour un chroot 'pure' - pouvoir utiliser des binaires en dehors du chroot (exemple mysqladmin) concernant le choot ssh, la doc Debian résume bien le sujet (http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.fr.html). Cela me parait old school. J'ai également testé tout un tas de shell dont le plus proche serait lshell mais si je n'ai pas de user systeme, j'ai le même $HOME (celui d'apache) Je cherche actuellement du côté de PAM Mysql ou PAM LDAP, je pense qu'avec des utilisateurs virtuels je n'ai guère le choix. qu'en pensez-vous ? ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Le jeudi 19 décembre 2013 11:36:00 JC PAROLA a écrit : > Bonjour, > > Je suis confronté au cahier des charges suivant pour lequel j'ai du mal > a répondre et pourtout tous les monde à du y être confronté Bonjour JC : En ce qui me concerne : obligation de conseil : remettre en cause le cahier des charges du client et requalifier le besoin des comptes shell, situation & co :) amicalement, -- .°. Christophe Casalegno | CTO / Chief Technical Officer Digital Network | Security, Hosting & managed services http://www.digital-network.net | http://bit.ly/14MKprj Phone : +33.618.952.154 | Fax : +33.177.758.868 ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te permettra déjà d'avoir 1 user / site, et de mieux cloisonner. Tip N°2 : utilise MySecureShell pour faire des environnements en jail Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes utilisateurs Question : pourquoi filer un accès SSH à des users sur un environnement mut ? effectivement le cahier des charges est a redéfinir... Le 19/12/2013 12:06, Christophe Casalegno a écrit : Le jeudi 19 décembre 2013 11:36:00 JC PAROLA a écrit : Bonjour, Je suis confronté au cahier des charges suivant pour lequel j'ai du mal a répondre et pourtout tous les monde à du y être confronté Bonjour JC : En ce qui me concerne : obligation de conseil : remettre en cause le cahier des charges du client et requalifier le besoin des comptes shell, situation & co :) amicalement, ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Bonjour, Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit : > Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te > permettra déjà d'avoir 1 user / site, et de mieux cloisonner. Je plussoie violemment pour php-fpm. Ajouter à ça une directive open_basedir par utilisateur pour les empêcher d'aller voir plus haut que leur $HOME > Tip N°2 : utilise MySecureShell pour faire des environnements en jail > Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes > utilisateurs Concernant le chroot du shell, même avec un OpenSSH standard, c'est inutile de copier les dossiers, il suffit de les monter en bind mount. Cordialement Emmanuel Thierry > > Question : pourquoi filer un accès SSH à des users sur un environnement mut ? > effectivement le cahier des charges est a redéfinir... > > Le 19/12/2013 12:06, Christophe Casalegno a écrit : >> Le jeudi 19 décembre 2013 11:36:00 JC PAROLA a écrit : >>> Bonjour, >>> >>> Je suis confronté au cahier des charges suivant pour lequel j'ai du mal >>> a répondre et pourtout tous les monde à du y être confronté >> Bonjour JC : En ce qui me concerne : obligation de conseil : remettre en >> cause le cahier des charges du client et requalifier le besoin des comptes >> shell, situation & co :) >> >> amicalement, >> > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Bonjour, Merci pour ces éléments, effectivement le besoin client a changé, le client transforme son serveur dédié mono-site en multi-site.( merci Christophe :-) ) Pour le multi-site j'ai l'habitude d'utiliser suPHP en mode paranoïd, j'avais essayé fpm à ses débuts sans grand succès. User système mis à part (c.a.d sécurisation des hébergements web), concernant MySecureShell...c'est pour sftp et pas du shell en console Pour lshell effectivement, le shell choisit semble bon (dépendance python quand même). Dans mon cas, pam_mysql (pour avoir des users par hébergement) et lshell semble suffisant ou alors j'install suphp. Le 19/12/2013 13:24, Emmanuel Thierry a écrit : Bonjour, Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit : Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te permettra déjà d'avoir 1 user / site, et de mieux cloisonner. Je plussoie violemment pour php-fpm. Ajouter à ça une directive open_basedir par utilisateur pour les empêcher d'aller voir plus haut que leur $HOME Tip N°2 : utilise MySecureShell pour faire des environnements en jail Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes utilisateurs Concernant le chroot du shell, même avec un OpenSSH standard, c'est inutile de copier les dossiers, il suffit de les monter en bind mount. Cordialement Emmanuel Thierry Question : pourquoi filer un accès SSH à des users sur un environnement mut ? effectivement le cahier des charges est a redéfinir... Le 19/12/2013 12:06, Christophe Casalegno a écrit : Le jeudi 19 décembre 2013 11:36:00 JC PAROLA a écrit : Bonjour, Je suis confronté au cahier des charges suivant pour lequel j'ai du mal a répondre et pourtout tous les monde à du y être confronté Bonjour JC : En ce qui me concerne : obligation de conseil : remettre en cause le cahier des charges du client et requalifier le besoin des comptes shell, situation & co :) amicalement, ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Hello, Tu peux regarder du côté de mod_ruid2 pour apache, c'est cool dans un environnement ou tu as vraiment beaucoup de sites car la conf est pas très compliquée Le 19 décembre 2013 14:07, JC PAROLA a écrit : > Bonjour, > > Merci pour ces éléments, effectivement le besoin client a changé, le > client transforme son serveur dédié mono-site en multi-site.( merci > Christophe :-) ) > > Pour le multi-site j'ai l'habitude d'utiliser suPHP en mode paranoïd, > j'avais essayé fpm à ses débuts sans grand succès. > > User système mis à part (c.a.d sécurisation des hébergements web), > > concernant MySecureShell...c'est pour sftp et pas du shell en console > > Pour lshell effectivement, le shell choisit semble bon (dépendance python > quand même). > > Dans mon cas, pam_mysql (pour avoir des users par hébergement) et lshell > semble suffisant > > ou alors j'install suphp. > > > > Le 19/12/2013 13:24, Emmanuel Thierry a écrit : > > Bonjour, >> >> Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit : >> >> Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te >>> permettra déjà d'avoir 1 user / site, et de mieux cloisonner. >>> >> Je plussoie violemment pour php-fpm. Ajouter à ça une directive >> open_basedir par utilisateur pour les empêcher d'aller voir plus haut que >> leur $HOME >> >> Tip N°2 : utilise MySecureShell pour faire des environnements en jail >>> Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes >>> utilisateurs >>> >> Concernant le chroot du shell, même avec un OpenSSH standard, c'est >> inutile de copier les dossiers, il suffit de les monter en bind mount. >> >> Cordialement >> Emmanuel Thierry >> >> Question : pourquoi filer un accès SSH à des users sur un environnement >>> mut ? effectivement le cahier des charges est a redéfinir... >>> >>> Le 19/12/2013 12:06, Christophe Casalegno a écrit : >>> Le jeudi 19 décembre 2013 11:36:00 JC PAROLA a écrit : > Bonjour, > > Je suis confronté au cahier des charges suivant pour lequel j'ai du mal > a répondre et pourtout tous les monde à du y être confronté > Bonjour JC : En ce qui me concerne : obligation de conseil : remettre en cause le cahier des charges du client et requalifier le besoin des comptes shell, situation & co :) amicalement, ___ >>> Liste de diffusion du FRsAG >>> http://www.frsag.org/ >>> >> ___ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > -- Nathan Delhaye 06 69 27 64 25 0805 696 494 ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Le 19/12/2013 14:07, JC PAROLA a écrit : Bonjour, Merci pour ces éléments, effectivement le besoin client a changé, le client transforme son serveur dédié mono-site en multi-site.( merci Christophe :-) ) Pour le multi-site j'ai l'habitude d'utiliser suPHP en mode paranoïd, j'avais essayé fpm à ses débuts sans grand succès. User système mis à part (c.a.d sécurisation des hébergements web), concernant MySecureShell...c'est pour sftp et pas du shell en console oui et non. avec une directive de ce type : Shell /usr/bin/lshell tu indique d'utiliser le shell lshell qui lui est un shell SSH. Pour lshell effectivement, le shell choisit semble bon (dépendance python quand même). Dans mon cas, pam_mysql (pour avoir des users par hébergement) et lshell semble suffisant ou alors j'install suphp. Le 19/12/2013 13:24, Emmanuel Thierry a écrit : Bonjour, Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit : Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te permettra déjà d'avoir 1 user / site, et de mieux cloisonner. Je plussoie violemment pour php-fpm. Ajouter à ça une directive open_basedir par utilisateur pour les empêcher d'aller voir plus haut que leur $HOME Tip N°2 : utilise MySecureShell pour faire des environnements en jail Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes utilisateurs Concernant le chroot du shell, même avec un OpenSSH standard, c'est inutile de copier les dossiers, il suffit de les monter en bind mount. Cordialement Emmanuel Thierry Question : pourquoi filer un accès SSH à des users sur un environnement mut ? effectivement le cahier des charges est a redéfinir... Le 19/12/2013 12:06, Christophe Casalegno a écrit : Le jeudi 19 décembre 2013 11:36:00 JC PAROLA a écrit : Bonjour, Je suis confronté au cahier des charges suivant pour lequel j'ai du mal a répondre et pourtout tous les monde à du y être confronté Bonjour JC : En ce qui me concerne : obligation de conseil : remettre en cause le cahier des charges du client et requalifier le besoin des comptes shell, situation & co :) amicalement, ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Le 19/12/2013 13:24, Emmanuel Thierry a écrit : Bonjour, Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit : Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te permettra déjà d'avoir 1 user / site, et de mieux cloisonner. Je plussoie violemment pour php-fpm. Ajouter à ça une directive open_basedir par utilisateur pour les empêcher d'aller voir plus haut que leur $HOME Tip N°2 : utilise MySecureShell pour faire des environnements en jail Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes utilisateurs Concernant le chroot du shell, même avec un OpenSSH standard, c'est inutile de copier les dossiers, il suffit de les monter en bind mount. C'est compliqué ! pourquoi ne pas utiliser "internal-sftp" plutôt que "sftp-server" en "Subsystem sftp" ? pas besoin de se faire chier a monter ou a copier les environnements dans la jail... ça impose d'autres contraintes, mais il me semble qu'on s'écarte, puisque le monsieur désire du SSH. Cordialement Emmanuel Thierry Question : pourquoi filer un accès SSH à des users sur un environnement mut ? effectivement le cahier des charges est a redéfinir... Le 19/12/2013 12:06, Christophe Casalegno a écrit : Le jeudi 19 décembre 2013 11:36:00 JC PAROLA a écrit : Bonjour, Je suis confronté au cahier des charges suivant pour lequel j'ai du mal a répondre et pourtout tous les monde à du y être confronté Bonjour JC : En ce qui me concerne : obligation de conseil : remettre en cause le cahier des charges du client et requalifier le besoin des comptes shell, situation & co :) amicalement, ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Le 19 déc. 2013 à 14:33, Pierre `Sn4kY` DOLIDON a écrit : > Le 19/12/2013 13:24, Emmanuel Thierry a écrit : >> Bonjour, >> >> Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit : >> >>> Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te >>> permettra déjà d'avoir 1 user / site, et de mieux cloisonner. >> Je plussoie violemment pour php-fpm. Ajouter à ça une directive open_basedir >> par utilisateur pour les empêcher d'aller voir plus haut que leur $HOME >> >>> Tip N°2 : utilise MySecureShell pour faire des environnements en jail >>> Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes >>> utilisateurs >> Concernant le chroot du shell, même avec un OpenSSH standard, c'est inutile >> de copier les dossiers, il suffit de les monter en bind mount. > > C'est compliqué ! > pourquoi ne pas utiliser "internal-sftp" plutôt que "sftp-server" en > "Subsystem sftp" ? pas besoin de se faire chier a monter ou a copier les > environnements dans la jail... > ça impose d'autres contraintes, mais il me semble qu'on s'écarte, puisque le > monsieur désire du SSH. Le bind mount j'en parlais pour du SSH, pas du SFTP. Cordialement Emmanuel Thierry ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : ssh utilisateur virtuel chrooté
Le 19/12/2013 14:33, Pierre `Sn4kY` DOLIDON a écrit : Le 19/12/2013 13:24, Emmanuel Thierry a écrit : Bonjour, Le 19 déc. 2013 à 13:10, Pierre `Sn4kY` DOLIDON a écrit : Tip N°1 : utiliser php en fcgi avec SuExec apache ou en FPM. cela te permettra déjà d'avoir 1 user / site, et de mieux cloisonner. Je plussoie violemment pour php-fpm. Ajouter à ça une directive open_basedir par utilisateur pour les empêcher d'aller voir plus haut que leur $HOME Tip N°2 : utilise MySecureShell pour faire des environnements en jail Tip N°3 : utilise lshell pour limiter les commandes disponibles a tes utilisateurs Concernant le chroot du shell, même avec un OpenSSH standard, c'est inutile de copier les dossiers, il suffit de les monter en bind mount. C'est compliqué ! pourquoi ne pas utiliser "internal-sftp" plutôt que "sftp-server" en "Subsystem sftp" ? pas besoin de se faire chier a monter ou a copier les environnements dans la jail... ça impose d'autres contraintes, mais il me semble qu'on s'écarte, puisque le monsieur désire du SSH. J'allais justement poser la question si c'était du SFTP ou SSH dont il y a besoin... Peut-être que le mieux serait de poser la question des besoins avant de parler de la solution... Quelles sont par ailleurs les contraintes, typiquement peux-tu installer n'importe quelle version d'Openssh ou non ? Suivant les versions on peut plus ou moins faire de choses... Cdlt, JYL ___ Liste de diffusion du FRsAG http://www.frsag.org/
