Strona 1 z 3
Konfiguracja konta
: 03 sierpnia 2007, 21:13
autor: Rysiu
Witam
1. Mam problem. Chciałbym aby po zalogowaniu użytkownik miał dostęp tylko i wyłącznie do swojego katalogu domowego... tak aby nie mógł oglądać jakichkolwiek innych plików na dysku.
2. Chciałem także zablokować danemu userowi możliwość korzystania praktycznie ze wszystkich komend. Wystarczy aby mógł tylko i wyłącznie odpalić program znajdujący się w katalogu domowym nic więcej... aby nie działał top, ps aux i wszystkie inne komendy.
Punkt 1 pokrywa się z 2gim - jak wytniemy wszystkie komendy to nie będzie można poruszać się po katalogach
Pozdrawiam i dziękuję za pomoc
Rysiu
: 03 sierpnia 2007, 22:27
autor: ShinnRa
AD 1) jeśli chodzi o ssh to poczytaj o chroot a jeśli chodzi i ftp to poszukaj w manualu danego serwera ftp powinno być o zamknięciu usera w jail'u.
AD 2) Nie wiem czy blokowanie komend to dobra sprawa. Ja bym raczej ograniczył ilość procesów i zabija wszystkie procesy użytkownika po jego wylogowaniu
: 04 sierpnia 2007, 13:04
autor: Rysiu
ShinnRa pisze:AD 2) Nie wiem czy blokowanie komend to dobra sprawa. Ja bym raczej ograniczył ilość procesów i zabija wszystkie procesy użytkownika po jego wylogowaniu
To właśnie raczej musi być blokowanie komend... użytkownik nie może mieć dostępu do top, podglądu procesów itp. i po wylogowaniu dany proces musi nadal działać...
: 04 sierpnia 2007, 15:43
autor: Stawi
Glowy nie dam ale blokowanie top / ps / df itd mozna zrobic poprzez odpowiednie prawa dostepu do katalogu /proc. Nie testowalem tego ale z tego co wiem do wlasnie z tamtad sa brane informacje?
: 04 sierpnia 2007, 15:59
autor: Rysiu
Stawi pisze:Glowy nie dam ale blokowanie top / ps / df itd mozna zrobic poprzez odpowiednie prawa dostepu do katalogu /proc. Nie testowalem tego ale z tego co wiem do wlasnie z tamtad sa brane informacje?
Właśnie działa... ustawiłem chmod /proc na 511 i top czy ps nie działa... df działa no ale o tym to już później się pomyśli...
Szukałem dokładniejszych informacji dotyczących ograniczenia pola działania do tylko i wyłącznie katalogu domowego - czyli tak jak ktoś już tam wcześniej wspomniał chroot ale niczego "na temat" nie znalazłem. Może coś podpowiecie w temacie albo dacie jakiegoś ciekawego linka?
Poszukałem trochę i znalazłem...
http://www.howtoforge.com/chrooted_ssh_howto_debian ale właśnie tak myślę, że nie będę zaśmiecał systemu - po prostu odpowiednie komendy nie muszą działać... zmieni się uprawnienia chmod do plików z poleceniami i nie będą już one działać.
Tylko pytanie: Gdzie zlokalizowane są te wszystkie polecenia? cd itp.
: 04 sierpnia 2007, 18:14
autor: Ventrue
Rysiu, na tej stronie (
KLIK ) Masz ładnie opisane robienia Jail'a na chroocie.
: 04 sierpnia 2007, 18:35
autor: Rysiu
Szczerze to widzę tam sporo roboty a nie jestem jakimś specjalistą od Linuxa... bym wolał po prostu zmienić chmody do odpowiednich plików i po bólu...
Tylko ciągle pytanie: Do jakich?
: 04 sierpnia 2007, 18:50
autor: Ventrue
Rysiu, nad zabezpieczeniami trzeba spędzić trochę czasu...
: 04 sierpnia 2007, 18:56
autor: ilr
Nie wiem dlaczego chcesz dać dostęp do shella użytkownikowi, któremu nie ufasz, ale to Twoja sprawa. :-) To co chcesz zrobić można zrealizować na kilka sposobów. Najprościej chyba za pomocą tzw. "restricted shell". Robisz tak:
1. Zakładasz użytkownika.
2. Zmieniasz mu domyślny shell w /etc/passwd na rbash
3. W katalogu domowym tworzysz plik .bashrc z zawartością np:
Kod: Zaznacz cały
export PATH=.
export PS1='\h:\w\$ '
umask 022
i voila.
: 04 sierpnia 2007, 21:03
autor: Rysiu
ilr pisze:Nie wiem dlaczego chcesz dać dostęp do shella użytkownikowi, któremu nie ufasz, ale to Twoja sprawa. :-)
Działa...
... ale nie do końca :E
Komendy zostały wycięte - uruchamiam przykładowo z tego konta serwer ShoutCast i działa on prawidłowo.. jednak uruchomię już inną aplikację i:
File logging error (W2 - wrong directory names?): 2
File logging error (W3): 103
Server Encountered an error:
I/O error 103
Niestety nie działa...
Co to za błędy przy nazwach katalogów? Na bash'u działa ok a na rbash'u już niestety nie...