Administracja użytkownikami - PAM

Obserwator · Post autor: **Obserwator** » 15 grudnia 2008, 12:29

Witam.

Uruchamiam serwer na Debianie 4 w dystrybucji Lenny w wersji testowej. W katalogu /home są pozakładane katalogi użytkowników. Np.:

Kod: Zaznacz cały

 /home/janek, /home/bartek

itp.

I teraz tak, chcę aby każdy miał tam własne ,,autonomiczne środowisko pracy'' i żeby nie mogli się wydostać poza katalog macierzysty. Myślę, że trzeba to jakoś ustawić w chroocie ale nie wiem dokładnie jak. Ustawiłem w pliku:

Kod: Zaznacz cały

/etc/access.conf

Kod: Zaznacz cały

DIR_MODE na 0750

(czyli w trybie no world-readable-access) ale mimo to każdy nowo utworzony użytkownik ma tworzony katalog z maską 0755. Użytkownicy mają mieć także możliwość tworzenia własnych baz danych w PostgreSQL. Czy ktoś mógłby coś doradzić?

Pozdrawiam!

markossx · Post autor: **markossx** » 15 grudnia 2008, 12:47

Oj, ja taki temat załatwiam rbash.

Obserwator · Post autor: **Obserwator** » 15 grudnia 2008, 13:00

markossx pisze:Oj, ja taki temat załatwiam rbash.

Z tego co słyszałem powłoka rbash jest dość dziurawa.

markossx · Post autor: **markossx** » 15 grudnia 2008, 14:06

&quot pisze:Z tego co słyszałem powłoka rbash jest dość dziurawa.

Mógłbyś to jakoś doprecyzować, jakieś przykłady...
Nikt nigdy mi się z tego nie wydostał i nie użył, żadnego oprogramowania, które byłoby zabronione.
Choć przyznam, że większość użytkowników nie była zbyt zaawansowana w Linuksie.

Obserwator · Post autor: **Obserwator** » 15 grudnia 2008, 15:06

Konkretnie chodzi o ten link - http://crashev.kbt.pl/texts/rbash-pl.txt.

Może i się czepiam ale po prostu chciałbym mieć pewność, że dany użytkownik będzie mógł sam stworzyć bazę danych w PostgreSQL, używać SVN, i korzystać z PHP.

Mam nadzieję, że doprecyzowałem o co dokładnie chodzi.

markossx · Post autor: **markossx** » 15 grudnia 2008, 18:53

&quot pisze:Może i się czepiam ale...

Drążysz i oto chodzi.
Łatka z artykułu jest znana jednak jej obejście już nie.
I ciekawe, czy zadziała w obecnej wersji basha bo artykuł nieco stary. Trzeba będzie zbadać.
Wszystko zależy od zaawansowania użytkowników i tego co chcesz osiągnąć.
U mnie, w pewnych wypadkach rbash się sprawdził, więc, poleciłem go Tobie bo jak to mawia jeden z moich kolegów: ,,nie ma co walić z armaty do wróbla'', jednak jeśli naprawdę potrzebujesz dużego kalibru powinieneś spróbować SELinuksa ale przegryzienie się przez ten labirynt nie jest łatwe.
Chociaż w Fedorze widziałem do tego graficzne zabawki.

Poza tematem.
Jeśli ktoś coś skonfiguruje za pomocą graficznych pomocników, nie zerkając do czystych plików konfigów w 8 na 10 przypadków nie będzie wiedział o co chodzi...