Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » Debian » 11 » LDF400 - Administration de la Sécurité » LDF406 - Sécurité Applicative

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
elearning:workbooks:debian:11:sec:l106 [2025/12/04 09:29] adminelearning:workbooks:debian:11:sec:l106 [2025/12/04 09:40] (Version actuelle) admin
Ligne 2555: Ligne 2555:
 =====Les Contres-Mesures===== =====Les Contres-Mesures=====
  
-Les contre-mesures consistent en la mise en place de chroot pour certains serveurs ainsi que le durcissement de la configuration de serveurs d'application. 
  
-====LAB #3 - La commande chroot==== 
  
-Le chrootage permet de séparer un utilisateur ou un utilisateur système ( et donc un serveur ) du système.  
  
-Sous Debian 12 le binaire chroot est installé par défaut : 
- 
-<code> 
-root@debian12:~# which chroot 
-/usr/sbin/chroot 
-</code> 
- 
-Commencez par créer un répertoire pour l'utilisateur qui sera emprisonné : 
- 
-<code> 
-root@debian12:~# mkdir /home/prison 
-</code> 
- 
-Le binaire **/usr/sbin/chroot** doit prendre le SUID bit : 
- 
-<code> 
-root@debian12:~# mkdir /home/prison 
- 
-root@debian12:~# ls -l /usr/sbin/chroot 
--rwxr-xr-x. 1 root root 48112 Sep 20  2022 /usr/sbin/chroot 
- 
-root@debian12:~# chmod +s /usr/sbin/chroot 
- 
-root@debian12:~# ls -l /usr/sbin/chroot 
--rwsr-sr-x. 1 root root 48112 Sep 20  2022 /usr/sbin/chroot 
-</code> 
- 
-Créez maintenant un script de connexion générique pour que l'utilisateur **prison** puisse se connecter : 
- 
-<code> 
-root@debian12:~# vi /bin/chroot 
- 
-root@debian12:~# cat /bin/chroot 
-#!/bin/bash 
-exec -c /usr/sbin/chroot /home/$USER /bin/bash 
-</code> 
- 
-Rendez ce script exécutable : 
- 
-<code> 
-root@debian12:~# chmod +x /bin/chroot  
-</code> 
- 
-Il est maintenant nécessaire de copier toutes les commandes dont l'utilisateur **prison** aura besoin. Dans cet exemple, nous allons nous contenter de copier **/bin/bash** et **/bin/ls** ainsi que les bibliothèques associées : 
- 
-<code> 
-root@debian12:~# mkdir /home/prison/bin 
- 
-root@debian12:~# cp /bin/bash /home/prison/bin/ 
- 
-root@debian12:~# ldd /bin/bash 
-        linux-vdso.so.1 (0x00007ffd39fcf000) 
-        libtinfo.so.6 => /lib/x86_64-linux-gnu/libtinfo.so.6 (0x00007fef082e8000) 
-        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fef08106000) 
-        /lib64/ld-linux-x86-64.so.2 (0x00007fef08471000) 
-    
-root@debian12:~# mkdir /home/prison/lib64 
- 
-root@debian12:~# mkdir -p /home/prison/lib/x86_64-linux-gnu/ 
- 
-root@debian12:~# cp /lib/x86_64-linux-gnu/libtinfo.so.6 /home/prison/lib/x86_64-linux-gnu/ 
- 
-root@debian12:~# cp /lib/x86_64-linux-gnu/libc.so.6 /home/prison/lib/x86_64-linux-gnu/ 
- 
-root@debian12:~# cp /lib64/ld-linux-x86-64.so.2 /home/prison/lib64 
- 
-root@debian12:~# cp /bin/ls /home/prison/bin/ 
- 
-root@debian12:~# ldd /bin/ls 
-        linux-vdso.so.1 (0x00007fff3db26000) 
-        libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007f8afb9a0000) 
-        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f8afb7be000) 
-        libpcre2-8.so.0 => /lib/x86_64-linux-gnu/libpcre2-8.so.0 (0x00007f8afb724000) 
-        /lib64/ld-linux-x86-64.so.2 (0x00007f8afba0a000) 
- 
-root@debian12:~# cp /lib/x86_64-linux-gnu/libselinux.so.1 /home/prison/lib/x86_64-linux-gnu/ 
- 
-root@debian12:~# cp /lib/x86_64-linux-gnu/libpcre2-8.so.0 /home/prison/lib/x86_64-linux-gnu/ 
-</code> 
- 
-Créez maintenant le groupe chroot : 
- 
-<code> 
-root@debian12:~# groupadd chroot 
- 
-root@debian12:~# cat /etc/group | grep chroot 
-chroot:x:1001: 
-</code> 
- 
-Créez maintenant l'utilisateur **prison** : 
- 
-<code> 
-root@debian12:~# useradd prison -c chroot_user -d /home/prison -g chroot -s /bin/chroot 
-</code> 
- 
-Dernièrement, modifiez le propriétaire et le groupe du répertoire **/home/prison** : 
- 
-<code> 
-root@debian12:~# chown -R prison:chroot /home/prison 
-</code> 
- 
-Essayez maintenant de vous connecter en tant que l'utilisateur prison : 
- 
-<code> 
-root@debian12:~# su - prison 
- 
-bash-5.2$ pwd 
-/ 
- 
-bash-5.2$ ls 
-bin  lib  lib64 
- 
-bash-5.2$ ls -la 
-total 20 
-drwxr-xr-x. 5 1001 1001 4096 Dec  1 13:59 . 
-drwxr-xr-x. 5 1001 1001 4096 Dec  1 13:59 .. 
-drwxr-xr-x. 2 1001 1001 4096 Dec  1 13:56 bin 
-drwxr-xr-x. 3 1001 1001 4096 Dec  1 13:59 lib 
-drwxr-xr-x. 2 1001 1001 4096 Dec  1 13:56 lib64 
- 
-bash-5.2$ exit 
-exit 
- 
-root@debian12:~#  
-</code> 
- 
-Notez que l'utilisateur **prison** est //chrooté//. 
  
 ----- -----
 Copyright © 2025 Hugh Norris. Copyright © 2025 Hugh Norris.
  

Piste : LDF409 - Gestion de la Sécurité de Docker LDF403 - Authentification LDF410 - Validation de la Formation LDF408 - Cryptologie LDF401 - Gestion des Droits LDF400 - Administration de la Sécurité LDF400 - Administration de la Sécurité

Menu