Użytkownik i dozwolone polecenia

Robert007 · Post autor: **Robert007** » 25 grudnia 2011, 19:51

Witam Was serdecznie.

Chciałbym zrobić użytkownika, który by miał określone dozwolone polecenia. Czy jest to możliwe?
By miał dostęp do poleceń takich jak:

Kod: Zaznacz cały

cp
chown
chgrp
chmod
screen

Czy dałoby radę te polecenia mu ustalić oraz zamknąć go w swoim katalogu domowym? Chciałbym by był zamknięty w katalogu domowym i by nie mógł się z niego wydostać. Dokładniej, by nie wpisał polecenia, które uszkodzi system.

Proszę o Waszą pomoc. Będę bardzo wdzięczny.

Post autor: **Yampress** » 25 grudnia 2011, 22:30

Obniżenie bezpieczeństwa. Nie należy tego robić
Co do zamknięcia użytkownika chroot ssh.

Robert007 · Post autor: **Robert007** » 25 grudnia 2011, 22:58

To jakie najlepsze rozwiązanie by było by np. apache wykonywał polecenia w Bash ale by było to w 100% bezpieczne dla systemu i atakami?

fnmirk · Post autor: **fnmirk** » 25 grudnia 2011, 23:12

Chyba nie jesteś realistą? Sto procent pewności nigdy nie uzyskasz.

Przejrzyj sobie:
http://debian.linux.pl/threads/12481-Pr ... ez-ssh-itp

Robert007 · Post autor: **Robert007** » 25 grudnia 2011, 23:55

Nie ma w tym wątku konkretnej odpowiedzi na mój problem. Chodzi mi tu aby uzyskać bezpieczne wykonywanie/przenoszenie plików (wykonywanie operacji na plikach) w danym katalogu przez panel który chciałbym zbudować na PHP + shell ale chciałbym mieć chociażby te 95% bezpieczeństwa że nikt nie rozwali mi systemu.

Co najlepiej by było w takim przypadku zrobić?

Post autor: **Yampress** » 26 grudnia 2011, 11:44

skrypty cgi, perl

Robert007 · Post autor: **Robert007** » 28 grudnia 2011, 18:15

Przeglądając perla zauważyłem, że jest podobny do php/html. Czy to znaczy, że na zwykłym php też mogę to zbudować? Zbudować wiem co i jak trzeba ale czy jest bezpieczny jak perl? Ewentualnie skrypty bash/sh?

lessmian2 · Post autor: **lessmian2** » 29 grudnia 2011, 17:38

Przecież w PHP te funkcję są natywne:
http://php.net/manual/en/function.copy.php
http://php.net/manual/en/function.chmod.php
http://php.net/manual/pl/function.chown.php
http://php.net/manual/pl/function.chgrp.php

Robert007 · Post autor: **Robert007** » 30 grudnia 2011, 08:08

Lecz są niepewne, gdyż brak praw spowoduje że nie wykona się a z poziomu shella wykonuje jako użytkownik/administrator systemu więc jest pewność że żadne prawa nie zakłócą ale również wiąże się to z bezpieczeństwem.

lessmian2 · Post autor: **lessmian2** » 30 grudnia 2011, 09:11

Uruchamiając powłokę z poziomu skryptu php, uruchamiasz go (zazwyczaj, o ile nie pójdzie w ruch np. sudo) na prawach użytkownika www-data, apache lub podobnego, czyli sytuacja jest dokładnie taka sama jak w przypadku użycia wbudowanej funkcji. Jeśli chcesz mieć możliwość operowania na prawach roota ze skryptów php serwowanych przez www, to albo musisz serwer www uruchomić na prawach roota (bardzo głupie), użyć np. sudo do nabycia odpowiednich uprawnień (trzeba uważać przy konfiguracji) albo zrobić sobie jakąś nakładkę (ang. backend) działający na uprawnieniach roota, z którą będzie się komunikował serwis www. Chyba nie ma innej drogi aby mieć w miarę bezpieczną aplikację www i jednocześnie mieć prawa administracyjne.