Configurando usuários em Jail no ISPConfig

Comunidade ISPConfig Configurando usuários em Jail no ISPConfig

Visualizando 3 posts - 1 até 3 (de 3 do total)
  • Autor
    Posts
  • #11360
    Luis FatorBinario
    Luis FatorBinario
    Administrador

    Um usuário em jail não terá permissão para executar comandos extras no console SSH e nem poderá listar o conteúdo dos diretórios fora de sua sessão.

    O JailKit, que instalamos seguindo o tutorial de Debian 7 + ISPConfig, já está ativo e pode ser usado para enjaular as sessões de usuário. Mas para podermos executar o wget que será necessário para baixar e instalar o WordPress teremos que fazer algumas configurações. Executando esse procedimento evitamos o erro “Fatal: no entropy gathering module detected” (erro ocasional quando tenta-se executar um comando sem permissão).

    Edite o arquivo /etc/jailkit/jk_init.ini e acrescente o path correto para as bibliotecas “.lib” (na instalação do Jailkit o desenvolvedor coloca um caminho padrão, mas as libs mudam de diretório conforme a distribuição Linux. A solução abaixo acrescenta o caminho para o Linux Debian 7 x32, se você instalou outra distribuição/versão verifique no servidor o caminho correto).

    * Está em negrito o que deve ser acrescentado.

    [uidbasics]
    # this section probably needs adjustment on 64bit systems
    # or non-Linux systems
    comment = common files for all jails that need user/group information
    libraries = /lib/libnsl.so.1, /lib64/libnsl.so.1, /lib/libnss*.so.2, /lib64/libnss*.so.2, /lib/x86_64-linux-gnu/libnss*.so.2, /lib/i386-linux-gnu/libnsl.so.1, /lib/i386-linux-gnu/libnss*.so.2
    regularfiles = /etc/nsswitch.conf, /etc/ld.so.conf
    
    [netbasics]
    comment = common files for all jails that need any internet connectivity
    libraries = /lib/libnss_dns.so.2, /lib64/libnss_dns.so.2, /lib/x86_64-linux-gnu/libnss_dns.so.2, /lib/i386-linux-gnu/libnss_dns.so.2
    regularfiles = /etc/resolv.conf, /etc/host.conf, /etc/hosts, /etc/protocols
    
    [scp]
    comment = ssh secure copy
    executables = /usr/bin/scp
    includesections = netbasics, uidbasics
    devices = /dev/urandom, /dev/random
    
    [sftp]
    comment = ssh secure ftp
    executables = /usr/lib/sftp-server, /usr/libexec/openssh/sftp-server, /usr/lib/misc/sftp-server, /usr/libexec/sftp-server
    includesections = netbasics, uidbasics
    devices = /dev/urandom, /dev/null, /dev/random
    
    [ssh]
    comment = ssh secure shell
    executables = /usr/bin/ssh
    includesections = netbasics, uidbasics
    devices = /dev/urandom, /dev/tty, /dev/random

    Em seguida reinicie o JailKit:

    > /etc/init.d/jailkit restart

     

    * * Se você já havia incluido usuários shell para o site antes de configurar o JailKit, conforme descrito acima, será necessário executar estes comandos adicionais, logado como root, para forçar a reconfiguração do perfil  (troque os diretórios abaixo pelo caminho do seu usuário de site, que pode ser verificado no ISPConfig em “Sites” / “Usuário de Shell” / “Selecione o usuário na lista” e em seguida abra a aba “Opções”). O diretório do usuário será mostrado na caixa “Diretorio”, que deve ser digitado conforme abaixo:

    > jk_init -j /var/www/clients/client0/web1/ uidbasics
    > jk_init -j /var/www/clients/client0/web1/ netbasics
    > jk_init -j /var/www/clients/client0/web1/ scp
    > jk_init -j /var/www/clients/client0/web1/ sftp
    > jk_init -j /var/www/clients/client0/web1/ ssh

    E se já havia adicionado usuários antes de configurar o JailKit execute também, como root, o comando para criar o device “random” em cada diretório de usuário em jail (substituindo o diretório pelo do seu usuário):

    > /sbin/MAKEDEV /var/www/clients/client0/web1/dev/random

     

    *Esse passo é essencial se você preocupa-se com a segurança de seu servidor.

     

    #12439

    Luiz
    Participante

    Oi Luis.

    Tenho um domínio (consultorimobiliario.net) que está diferente dos outros que já migrei para a Digital Ocean.

    Criei o usuário shell, fiz a instalação pelo putty. (até aí igual aos outros).

    O que notei de estranho:

    1) Ao acessar com esse usuário no WinSCP, ele não mostra nada dentro (onde deveria estar a instalação do wordpress feita pelo putty). No putty aparece normal. Acredito que desconfigurei algo no WinSCP. Com acesso root ele mostra tudo.

    2) Outra coisa bem estranha é que a propagação mostra que já está apontando para a Digital Ocean no whatsmydns.net, mas ainda funciona normalmente o site instalado na hospedagem anterior. Você já viu isso antes?

    Dados DNS desse domínio:

    $ORIGIN consultorimobiliario.net.
    $TTL 1800
    consultorimobiliario.net. IN SOA ns1.digitalocean.com. hostmaster.consultorimobiliario.net. 1470412944 10800 3600 604800 1800
    consultorimobiliario.net. 1800 IN NS ns1.digitalocean.com.
    consultorimobiliario.net. 1800 IN NS ns2.digitalocean.com.
    consultorimobiliario.net. 1800 IN NS ns3.digitalocean.com.
    consultorimobiliario.net. 1800 IN A 162.243.160.124
    www.consultorimobiliario.net. 1800 IN A 162.243.160.124
    pop.consultorimobiliario.net. 1800 IN A 162.243.160.124
    smtp.consultorimobiliario.net. 1800 IN A 162.243.160.124
    consultorimobiliario.net. 1800 IN MX 5 cp.wptestes.com.br.
    mail._domainkey.consultorimobiliario.net. 1800 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCprB/4NaG7ibX7/AQgZs3y43X98CFGL9dHIi7BKf2NEmVRA+ub7DgfGyxHQYZp/MZAj+fnD6twD9sSs+1FyYP7LqMZvstPOJsBtGHAin88hBvNBnQnH/x1jzzJroAzKnnz1dzBTNvkbD+ijB2xCInr4JXnrDMYBsAH2eVYMl++JQIDAQAB"
    _adsp._domainkey.consultorimobiliario.net. 1800 IN TXT “dkim=all”
    consultorimobiliario.net. 1800 IN TXT “v=spf1 ip4:162.243.160.124 ~all”
    _dmarc.consultorimobiliario.net. 1800 IN TXT “v=DMARC1; p=none; pct=100; aspf=r;”
    _dmarc.consultorimobiliario.net. 1800 IN TXT “v=DMARC1; p=none; pct=100; rua=mailto:[email protected]; aspf=r;”
    _amazonses.consultorimobiliario.net. 1800 IN TXT "fXumJ8reJVT5jLx2iD2SULkVmIDPCFvh5LXlzH6/kJY="
    gojycnxid44hd5kw2z32mnmkhrq2omkv._domainkey.consultorimobiliario.net. 1800 IN CNAME gojycnxid44hd5kw2z32mnmkhrq2omkv.dkim.amazonses.com.
    5oc7khyjgoo2ynie3tsduzm7tlzml45t._domainkey.consultorimobiliario.net. 1800 IN CNAME 5oc7khyjgoo2ynie3tsduzm7tlzml45t.dkim.amazonses.com.
    gf65owrhziltfwgkdkc2rye5q6zec3kh._domainkey.consultorimobiliario.net. 1800 IN CNAME gf65owrhziltfwgkdkc2rye5q6zec3kh.dkim.amazonses.com.

    Obs: A sacada de utilização da conta gmail para as caixas de correios foi sensacional…muito trabalho para acertar agora, mas vejo muitos benefícios lá na frente…

     

     

    #12440
    Luis FatorBinario
    Luis FatorBinario
    Administrador

    Se tiver problemas com acesso de um usuário do site não delete ele, crie outro em Jail para o site e faça login com ele.

    A propagação estar ok mas você ainda estar acessando o site na hospedagem antiga é problema de cache tanto do navegador como da empresa de banda larga, por exemplo a NET é a que mais retém cache, tem que ligar no suporte e mandar eles reiniciarem a conexão para a sua residência, ou aguardar mais algumas horas que normaliza.

    Sempre que migrar um site crie um arquivo .txt no root do site com um texto próprio para aquele servidor. Exemplo: crie um arquivo teste.txt com o conteúdo “Debian Online”. Abra a página no navegador, quando ela aparecer é porque o seu navegador já está acessando o servidor novo.

Visualizando 3 posts - 1 até 3 (de 3 do total)

Você deve fazer login para responder a este tópico.