Archives pour Samedi 1 mai 2010
Sur la machine cible :
# netcat -vv -l -p 7000 | dd of=/dev/hdb listening on [any] 7000 ... connect to [192.168.100.166] from maggie.interact.lu [192.168.100.100] 53106
Sur la machine source :
# dd if=/dev/hdb | netcat -vv 192.168.100.166 7000 Warning: Inverse name lookup failed for `192.168.100.166' 192.168.100.166 7000 (afs3-fileserver) open
Pour limiter l’accès sécurisé d’un utilisateur au mode SFTP uniquement, le plus simple est d’utiliser un shell prévu à cet effet. C’est le cas de rssh (Restricted Secure Shell) qui autorise l’accès unique, et au choix, aux commandes suivantes : scp, sftp, rsync et cvs. L’environnement peut être également chrooté (pour éviter le parcours de l’arborescence) mais cela implique une cohérence dans les accès au répertoire de base du chroot (par exemple /home), auquel sera ajouté automatiquement le login de l’utilisateur (/home/user).
Voici un exemple de fichier de configuration /etc/rssh.conf où seul l’accès SFTP est autorisé par défaut :
logfacility = LOG_USER # Leave these all commented out to make the default action for rssh to lock # users out completely... #allowscp allowsftp #allowcvs #allowrdist #allowrsync # set the default umask umask = 022 # If you want to chroot users, use this to set the directory where the root of # the chroot jail will be located chrootpath = /home
La configuration étant faite, les comptes utilisateurs sont à modifier avec le changement du shell et également du groupe primaire, afin de gérer au mieux les permissions d’accès aux fichiers :
# usermod -s /usr/bin/rssh bhuisgen # usermod -g clients bhuisgen
Enfin, un petit test de connexion :
$ ssh bhuisgen@127.0.0.1 Password: Last login: Fri Mar 26 11:46:29 CET 2010 from bart.interact.lu on pts/3 This account is restricted by rssh. Allowed commands: sftp If you believe this is in error, please contact your system administrator. Connection to 127.0.0.1 closed.
C’est bon, l’utilisateur n’a donc plus d’accès shell et il doit utiliser obligatoirement un client SFTP.
# lsof -n | awk '{print $1}' | sort | uniq -c | sort -rn | head
Pour classer uniquement par descripteur de type socket :
# lsof -ni | awk '{print $1}' | sort | uniq -c | sort -rn | head