GoldenLine
Zaloguj się
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: User - dostęp do wybranych komend

Witam,

Na serwerze opartym o Debiana załozyłem konto użytkownikowi.
Gdy zaloguję się na tego uzytkownika i dwukrotnie wcisne TAB, pojawi mi się taki komunikat:



lkisiel@serwerek:~$

Display all 2504 possibilities? (y or n)


Czyli...użytkownik ma dostęp do ponad 2.5tys poleceń.

Chciałbym założyć konta dla jeszcze kilku uzytkowników.

Zastanawiam się jak w bezpieczny sposób okroić listę poleceń dostępnych dla użytkownikow? Dostęp do /bin musi być, bo znajduje się tam bash a uzytkownicy mają konsolę /bin/bash.

Do jakich katalogów powinien zabronić dostępu dla tych userów.
Jedyne z czego będą korzystali to wget,bash, ekg.
Link do wypowiedziLink

konto usunięte

Temat: User - dostęp do wybranych komend

Chroot/jail.
Kiedyś używałem do tego jailkit ale nie wiem czy to jeszcze rozwijane jest.

Shell też jest ograniczony restricted bash - rbash.Arkadiusz Z. edytował(a) ten post dnia 06.07.11 o godzinie 15:44
Link do wypowiedziLink

konto usunięte

Temat: User - dostęp do wybranych komend

aptitude install lshell
vim /etc/lshell
usermod USER -s /user/bin/lshell
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: User - dostęp do wybranych komend

Najpierw proponuję zdefiniować przed czym tak naprawdę chcesz się bronić i z jakich powodów. Z jednej strony rozwiązań jest pełno, a z drugiej nie wiadomo czy to jest czegoś warte.
Jeśli chcesz im w tym gąszczu pomóc, to dodaj raczej jakiegoś dobrego motd'a. Jeśli chcesz się przed czymś bronić, to wystarczy wyciąć dostęp do programów suidowych. A może jeszcze coś innego chcesz osiągnąć?
Link do wypowiedziLink

konto usunięte

Temat: User - dostęp do wybranych komend

Łukasz Kisielewicz:
Witam,

Na serwerze opartym o Debiana załozyłem konto użytkownikowi.
Gdy zaloguję się na tego uzytkownika i dwukrotnie wcisne TAB, pojawi mi się taki komunikat:



lkisiel@serwerek:~$

Display all 2504 possibilities? (y or n)


Czyli...użytkownik ma dostęp do ponad 2.5tys poleceń.

Chciałbym założyć konta dla jeszcze kilku uzytkowników.

Zastanawiam się jak w bezpieczny sposób okroić listę poleceń dostępnych dla użytkownikow? Dostęp do /bin musi być, bo znajduje się tam bash a uzytkownicy mają konsolę /bin/bash.

Do jakich katalogów powinien zabronić dostępu dla tych userów.
Jedyne z czego będą korzystali to wget,bash, ekg.

hostname to 'server' w związku z czym zakładam, że ten system robi jako serwer. Stąd moje pytanie, dlaczego tam masz aż tak dużo poleceń? Masz tam X'y czy co? A Twoje pytanie jest bardzo ogólne i w zasadzie dotyka tego co każdy admin powienien wiedzieć/potrafić zrobić: jak powycinać dostęp user tak maksymalnie jak się da a jednocześnie nie utrudniać im pracy i udostępnić wymaganą funkcjonalność. Jeżeli nie znasz się za bardzo na takich pracach to najprostrze rozwiązanie wiąże się z jakąś wirtualizacją/izolacją. Udostępnij im system zwirtualizowany/emulowany, w którym będą tylko te programy, których potrzebują.
Link do wypowiedziLink
Piotr B.

Piotr B. Handlarz też
człowiek

Temat: User - dostęp do wybranych komend

Ściągnij sobie i przetestuj to: http://www.quest.com/privilege-manager-for-unix/
Link do wypowiedziLink

konto usunięte

Temat: User - dostęp do wybranych komend

Rafal S.:
aptitude install lshell
vim /etc/lshell
usermod USER -s /user/bin/lshell

A ten lshell to jakis odpowiednik rksh ? Jeśli tak, to jest do obejścia ... chociażby z vi ...

:!/bin/bash

:)
Link do wypowiedziLink

konto usunięte

Temat: User - dostęp do wybranych komend

Krzysztof P.:
A ten lshell to jakis odpowiednik rksh ? Jeśli tak, to jest do obejścia ... chociażby z vi ...

:!/bin/bash

:)
Z pierwszego posta:
"Jedyne z czego będą korzystali to wget,bash, ekg"
VI tam jakos nie widze. W sumie nie wiem po co ten bash jeszcze tam jest.

EDIT:
Jakby przyciac jeszcse basha, to nie da rady.Rafal S. edytował(a) ten post dnia 17.08.11 o godzinie 08:28
Link do wypowiedziLink

konto usunięte

Temat: User - dostęp do wybranych komend

Krzysztof P.:
A ten lshell to jakis odpowiednik rksh ? Jeśli tak, to jest do obejścia ... chociażby z vi ...

:!/bin/bash
No ok ale skrypt i tak wykona się z prawami usera. Wiadomo, że sam shell to nie wszystko.
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: User - dostęp do wybranych komend

Rafal S.:
Krzysztof P.:
A ten lshell to jakis odpowiednik rksh ? Jeśli tak, to jest do obejścia ... chociażby z vi ...

:!/bin/bash

:)
Z pierwszego posta:
"Jedyne z czego będą korzystali to wget,bash, ekg"
VI tam jakos nie widze. W sumie nie wiem po co ten bash jeszcze tam jest.

EDIT:
Jakby przyciac jeszcse basha, to nie da rady.
Z ekg też jest do obejścia:
on -a msg,chat * exec jaka tylko chcesz komenda

Niezależnie od ograniczeń shella zadziała.
Link do wypowiedziLink

konto usunięte

Temat: User - dostęp do wybranych komend

Dajcie na luz.
lshell nie jest odpowiednikiem rksh/rbash etc etc Używałem go w paru miejscach i
całkiem nieźle radzi sobie z tzw. shell escape; nie wiem jak z EKG ale na vi(m) czy ftp nie działa wywołanie "dowolnej" komendy... Dla przeciętnego użytkownika shella i strachliwego admina może być :-)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

DNSMASQ a zabroniony dostęp




Wyślij zaproszenie do
Anuluj