Est-il plus sûr d'utiliser une prison chroot, une coquille de prison ou une combinaison?

9

Une de mes amies a un netbook Acer basé sur xandros, et a cherché à obtenir une administration à distance et de l'aide de moi pendant qu'elle voyage à travers le monde.
J'ai créé un compte sur son netbook pour moi dans lequel ssh, et mis en place un script pour inverser-ssh-tunnel de son netbook vers mon serveur - cela me permet de contourner les problèmes de pare-feu, etc. dans diverses auberges et hôtels. Une fois qu'elle s'est connectée à mon serveur, je peux ensuite accéder à son netbook.

J'ai un script bash qui est exécuté comme son shell quand elle ssh'es dans mon serveur, ce qui lui donne juste une sorte d'écran "s'il vous plaît attendre", et la seule option est de quitter le script, et donc de démarrer du serveur.

L'utilisateur que je lui ai créé sur mon serveur a de faibles droits, mais il y a forcément un exploit qui signifierait qu'elle aurait un accès ssh à mon serveur.

J'envisage également d'utiliser une prison chroot, donc si elle s'échappe, elle n'aura accès qu'à son répertoire personnel.
Est-ce une bonne idée et y a-t-il d'autres conseils de sécurité que j'ai pu manquer pour garder mon serveur sécurisé, tout en me permettant d'accéder à son netbook à distance?

Pour clarifier, je ne pense pas qu'elle va essayer de s'échapper de la prison ou du chroot, mais j'aimerais savoir comment je pourrais empêcher cela au cas où.

Mise à jour:
Et avez-vous d'autres suggestions sur la façon dont je pourrais accéder au netbook ou à d'autres couches que je pourrais placer entre l'utilisateur et mon matériel?

linux security chroot-jail Andy
la source

Réponses:

3

Avez-vous envisagé de configurer VNC ou une autre application de contrôle à distance sur un port qui n'est généralement pas filtré par un pare-feu selon les règles?

Un exemple de configuration de cela aurait VNC (ou une autre application similaire) chargé sur le portable. Ensuite, exécutez votre script côté ordinateur portable pour atteindre votre serveur sur un port spécifique qui ne sera pas filtré par le pare-feu pour établir votre chemin de retour vers le système. 443 est probablement le meilleur port à utiliser pour cela, mais d'autres conviennent également. Ensuite, à partir de votre système, vous vous connectez simplement à VNC soit directement, soit vous répliquez un port sur votre serveur vers un autre numéro de port et vous vous connectez simplement à l'interface sur le port local et la redirection de port se chargera de vous amener à l'autre système à l'extrémité distante.

J'espère que cela t'aides.

Axxmasterr
la source
Merci pour la suggestion. Je n'y avais pas pensé car je n'ai pas vraiment vu beaucoup de clients vnc sous linux qui rendent la connexion inverse évidente sous Linux. En connaissez-vous?
Andy
une façon de procéder consiste à utiliser un programme TCP / IP capable d'établir le port dans un sens. Automatiser cela avec une connexion de style telnet à partir d'un script shell ferait bien l'affaire. La plupart des implémentations telnet vous permettent de spécifier le port auquel vous essayez de vous connecter.
Axxmasterr
2

La prison chroot aidera, mais avec un exploit qui a laissé quelqu'un entrer dans un shell, il serait toujours en mesure de voir la table de processus et autres, et d'exécuter des programmes, ce qui pourrait être de nouveaux exploits. Si vous voulez vraiment être agressif pour isoler l'utilisateur externe, c'est en quelque sorte utiliser un obusier sur une fourmi, mais vous pouvez configurer un serveur privé virtuel pour l'ensemble du mécanisme du tunnel ssh. Ensuite, le pire qu'ils peuvent faire est de jeter le VPS, sauf la possibilité d'en sortir, ce qui est une barre assez élevée.

le chaos
la source
J'aime l'idée, mais oui, un rouleau compresseur pour casser un noyer :) Encore une fois, si je lance quelque chose de vraiment petit comme un chiot-linux uniquement en tant que serveur, ce ne serait pas un gros rouleau compresseur.
Andy
2

Je suis fan d'une bonne stratégie de défense en profondeur quand il s'agit de sécuriser un système informatique, donc je vous recommande d'utiliser un compte à faible privilège dans un système de fichiers chrooté, et même alors ce n'est pas une garantie, il suffit de regarder l'iPhone, il fait ces deux choses et ça n'aide toujours pas.

Bruce McLeod
la source
2

Une autre façon de dépecer cet animal maintenant que j'y pense est de tunneler le trafic de session x à l'intérieur d'un tunnel SSH comme alternative à l'utilisation de VNC. Vous êtes déjà à mi-chemin avec votre configuration actuelle.

Configurez la capacité X sur un port spécifique localement sur cette machine, puis transférez-le à vous-même via le tunnel, puis répliquez-le sur un port de votre côté afin de pouvoir vous connecter à la session sur le port local de votre serveur.

Une autre chose que j'ai trouvée qui est entièrement pratique pour ce genre de chose est le DNS dynamique. Cela vous permettra de définir un nom de domaine complet résolvable que vous pourrez interroger chaque fois que le besoin s'en fera sentir. DyDns fonctionne comme un service léger sur le système sur lequel vous l'avez installé et il met à jour l'enregistrement chaque fois que les informations d'adresse IP changent.

Axxmasterr
la source