Strona 1 z 2
Użytkownik i dozwolone polecenia
: 25 grudnia 2011, 19:51
autor: Robert007
Witam Was serdecznie.
Chciałbym zrobić użytkownika, który by miał określone dozwolone polecenia. Czy jest to możliwe?
By miał dostęp do poleceń takich jak:
Czy dałoby radę te polecenia mu ustalić oraz zamknąć go w swoim katalogu domowym? Chciałbym by był zamknięty w katalogu domowym i by nie mógł się z niego wydostać. Dokładniej, by nie wpisał polecenia, które uszkodzi system.
Proszę o Waszą pomoc. Będę bardzo wdzięczny.
: 25 grudnia 2011, 22:30
autor: Yampress
Obniżenie bezpieczeństwa. Nie należy tego robić
Co do zamknięcia użytkownika chroot ssh.
: 25 grudnia 2011, 22:58
autor: Robert007
To jakie najlepsze rozwiązanie by było by np. apache wykonywał polecenia w Bash ale by było to w 100% bezpieczne dla systemu i atakami?
: 25 grudnia 2011, 23:12
autor: fnmirk
Chyba nie jesteś realistą? Sto procent pewności nigdy nie uzyskasz.
Przejrzyj sobie:
http://debian.linux.pl/threads/12481-Pr ... ez-ssh-itp
: 25 grudnia 2011, 23:55
autor: Robert007
Nie ma w tym wątku konkretnej odpowiedzi na mój problem. Chodzi mi tu aby uzyskać bezpieczne wykonywanie/przenoszenie plików (wykonywanie operacji na plikach) w danym katalogu przez panel który chciałbym zbudować na PHP + shell ale chciałbym mieć chociażby te 95% bezpieczeństwa że nikt nie rozwali mi systemu.
Co najlepiej by było w takim przypadku zrobić?
: 26 grudnia 2011, 11:44
autor: Yampress
skrypty cgi, perl
: 28 grudnia 2011, 18:15
autor: Robert007
Przeglądając perla zauważyłem, że jest podobny do php/html. Czy to znaczy, że na zwykłym php też mogę to zbudować? Zbudować wiem co i jak trzeba ale czy jest bezpieczny jak perl? Ewentualnie skrypty bash/sh?
: 29 grudnia 2011, 17:38
autor: lessmian2
: 30 grudnia 2011, 08:08
autor: Robert007
Lecz są niepewne, gdyż brak praw spowoduje że nie wykona się a z poziomu shella wykonuje jako użytkownik/administrator systemu więc jest pewność że żadne prawa nie zakłócą ale również wiąże się to z bezpieczeństwem.
: 30 grudnia 2011, 09:11
autor: lessmian2
Uruchamiając powłokę z poziomu skryptu php, uruchamiasz go (zazwyczaj, o ile nie pójdzie w ruch np. sudo) na prawach użytkownika www-data, apache lub podobnego, czyli sytuacja jest dokładnie taka sama jak w przypadku użycia wbudowanej funkcji. Jeśli chcesz mieć możliwość operowania na prawach roota ze skryptów php serwowanych przez www, to albo musisz serwer www uruchomić na prawach roota (bardzo głupie), użyć np. sudo do nabycia odpowiednich uprawnień (trzeba uważać przy konfiguracji) albo zrobić sobie jakąś nakładkę (ang. backend) działający na uprawnieniach roota, z którą będzie się komunikował serwis www. Chyba nie ma innej drogi aby mieć w miarę bezpieczną aplikację www i jednocześnie mieć prawa administracyjne.