как ограничить права пользователя? [РЕШЕНО]
Morbiuz 23 февраля, 2009 - 23:34
история такова:
на работе ограничен доступ к некоторым ресурсам сети, проблема решается созданием ssh tunnel, работа посменная, и было решено создать аккаунт для всех...
вопрос: как зарезать по полной права юзера, чтоб немог перемещатся по каталогам и просматривать файлы. только ssh и только выход в инет через squid.
»
- Для комментирования войдите или зарегистрируйтесь
Надо пораскинуть мозгами, но
Надо пораскинуть мозгами, но первое что пришло на ум(после 23 =)) :
Создать группу, которой разрешено только ssh и инет, проверить права доступа на файлы на предмерт __0 остальные и наконец строго проверить и исключить если надо из других групп юзера.
PS : За просмотр каталогов "r", за вход в них "x".
а можно
а можно просто запретить выход из домашней папки, как это делается на ftp ?
Интересная тема :)
Интересная тема :)
да
да это бы помогло... ничего не видит ничего не запускает... вообще я знаю как это сделать, выстовить просмотр только root... а мож и вправду chown -R root:root / но проблем наверное будет =( надо в свойствах папок выставить просмотор только владелец... вот как такое намутить?
>надо в свойствах папок
>надо в свойствах папок выставить просмотор только владелец... вот как такое намутить?
chmod 4?? files/dirs
>а мож и вправду chown -R root:root /
Вы что ? НЕ В КОЕМ СЛУЧАЕ !
Тоже думал про не выход из ~. Но боюсь если есть доступ к другой папке, то перейдёт туда. Хотя можно попробовать поставить доспут на папку / для остальных 0. Читал у Паскаля и это действует, что если соответствующих прав нет у одной из папок в цепочке вы в пункт назначения не попадёте. Попробуйте. Наверно в таком случае он и дома не поменяет папку - так что наверно это не выход.
Значить такЪ :)
Сие полноценно да на нормальной (не перекорёженной ручками до неузнаваемости) делается посредством chroot'а (который для случая ssh отдельные самопровозглашённые труЪ-"админы" почему-то не любят).
Вопрос поднят мягко говоря замечательный.
Особенно с учётом свежего (моего) опыта по общению с сменными "инженерами"... :)
Про опцию '-r' уже подсказали.
ABS должно читать в оригинале.
Переменная PATH, sudo...
Кстати, если пойти по указанному мной в начале пути (создаём пользователя типа remoteadmin или, для краткости, radmin, ssh для него - [например] на нестандартный порт типа 2022, chroot'ed в /home/radmin, там же воспроизводишь необходимый минимум окружения (/bin, /dev и т.д.).
ЗЫ: Ты лучше поделись: какие меры по защите канала были признаны достаточными.
:wq
--
Live free or die
меры.
может я неправиль понял вопрос, но собственно канал не защищался дополнительно, трафик гонится через ssh, как я понимаю он итак шифруется самодостаточно.
а вообще это выглядит так:
на win машине запускается путти, настроенная на тунелирование трафика + прослушка порта по всей локалке, в браузере выставляется прокси сервер 127.0.0.1:8080, а дальше по ssh трафик гонится на домашнюю тачку, где стоит squid...
Есть подозрение :)
Да, шифрование трафика - суть ssh.
Но.
Уровень защиты (как, впрочем, и скорость) зависит от длины используемого ключа.
Что достаточно для локальной сети может оказаться недостаточным в общедоступных.
Есть мнение, что длина ключа, генерируемого sshd по умолчанию, для сетей общего пользования может оказаться недостаточной.
И ещё совет от меня лично: как минимум для пользователей, которым предполагается открыть доступ извне (не обязательно совпадает с пользователем, которому даны ограниченные права администрирования) запретить авторизацию по паролю (только ключи), после завершения сессии (
.bash_logout) зачищать историю.Интерееесно...
А смысл?
:wq
--
Live free or die
на работе посредством
на работе посредством корпоративной прокси, вероятнее всего, зарезаны одноквасники и контакты.
вот и думает народ, как бы початиться и порнуху покачать...
Кстати...
Неужели ещё остались люди, верующие в то, что порнуху следует искать на ресурсах, декларирующих себя тематическими?.. ;)
ЗЫ: Интересно как отнесётся администрация этого форума к публикации ссылки на фотографию, которую я однажды обнаружил на главной странице тематического (фото) сайта :)))
:wq
--
Live free or die
=)
всё просто, в офисе зарезале вконтакте, все ходят злые... а мне от этого только польза,мозгов набираюсь =)
так случилось,что работаю в сапорте инет провайдера, короче автоответчиком... а мозги требуют знаний, информационный голод и всё такое...
кстати кто знает, все сайты как сказали зарезали на оборудовании, в гугле набираешь vkontakte он тупо не откроет страницу, как такое реализовано?
1-и способ) Редирект DNS 2-и
1-и способ) Редирект DNS
2-и способ)Proxy (Squid/ISA)
3) REJECT/block on vkontakte.ru
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
подскажите ссылку
подскажите ссылку, где объясняется, как запихнуть ssh в chroot, притом чтоб там был конкретный пользователь
Вот эта строка в pureftpd
Вот эта строка в pureftpd отвечает за chroot
ChrootEveryone yes
Курите PAM :) Для начала
Курите PAM :)
Для начала IMHO
gw ~ # eix pam_chroot
* sys-auth/pam_chroot
Available versions: ~0.9.1 ~0.9.2
Homepage: http://sourceforge.net/projects/pam-chroot/
Description: Linux-PAM module that allows a user to be chrooted in auth, account, or session.
gw ~ # eix pam_mktemp
* sys-auth/pam_mktemp
Available versions: 1.0.3
Homepage: http://www.openwall.com/pam/
Description: Create per-user private temporary directories during login
gw ~ #
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
сейчас
сейчас курю http://subnets.ru/blog/?p=413&cpage=1 это то что надо, только под FreeBSD, думается Bash и в африке Bash... там про rbash который читает дирикторию с допустимыми командами, которые идут через sudo
Это ты зря...
Ибо энциклопедия методов пропаганды, эффект первичности.
Самые интересные вопросы в данной "статье" в лучших традициях большинства бздишников попросту не сформулированы. Приведённая "защита" сработает хорошо если для случая клинического идиота.
Есди хочешь сделать всё правильно и без излишеств, то для начала тебе надо определиться с тем: какие действия пользователь должен иметь возможность выполнять, потом - способы выполнения этих действий.
:wq
--
Live free or die
иметь возможность выполнять
выполнять вход через ssh, всё больше ничего, никаких команд и etc
bash -r
А покурите man bash на предмет опции -r. Не все ваши проблемы оно решит, но помочь решить некоторые сможет наверняка.
:}
хм
ещё не курил, но появилась идея, тупо урезать набор команд... для аккаунта, запретить ls, cd и т.д....
нашёл пример на opennet.ru
нашёл пример на opennet.ru но не силён в данной область, объясните кто может, что тут происходит
в /etc/profile пропиши что-то типа:
if [[ `/usr/bin/whoami` = 'user1' || `/usr/bin/whoami` = 'user2' ]]
then
/bin/bash -r
exit
fi
P.S. помоему в /home/user1, /home/user2 надо rbash ложить ... давно дело было, уже не помню наверняка .
такс..
наткнулся на статью http://www.opennet.ru/docs/RUS/bash_scripting_guide/c12376.html
теперь знаем, что bash -r это Запуск сценария или его части в ограниченном режиме, приводит к наложению ограничений на использование некоторых команд. Эта мера предназначена для ограничения привилегий пользователя, запустившего сценарий, и минимизации возможного ущерба системе, который может нанести сценарий.
осталось понять, как заставить юзара запускаться именно так..
P.S. Ничего что флужу сюда, так легче думать, да и может кому на будущее полезно будет
еху!
прочитал кучу манов, а потом допёр... =)
useradd -s /bin/rbash qwerty
как говорил мой друг, 2 дня чтения и одна строчка кода...
=(
а так доступ через ssh закрыт :'(
разобрался со скриптом, всё ок, cd не пашет, но можно создовать в домашнем коталоге, а ещё nano /etc/make.conf показывает =(
короче остановился на
в /etc/profile
if [[ `/usr/bin/whoami` = 'qwerty' ]]
then
/bin/bash -r
exit
fi
потом
useradd -m -s /bin/bash qwerty
потом
chown -R root:root /home/qwerty
потом
chmor -r /home/qwerty
итого не ходит, не создаёт, не смотрит каталог...
...
короче всё это ерунда...
оставляю скрипт, а как указать bash использовать не /bin, а другой пас, где я положу те проги что нужно?
заработало
скурив туеву-хучу инфы, наткнулся на хендбук по безопасности Gentoo там всё оч понятно написано про chroot, главное делать всё руками, а не пользовать чужие скрипты, итого: нужные ssh пользователи сидят в chroot
Сцылку в студию!
Сцылку в студию!
:wq
--
Live free or die
ты
ты не-по-ве-ри-ш!
http://www.gentoo.org/doc/en/security/index.xml
http://www.gentoo.org/security/en/index.xml
а еще можно тут посмотреть
http://gentoo.theserverside.ru/gentoo-doc/Gentoo_doc-1.5-19.html
вот такие пирожки с котятами
и ватрушки с несварением :)
Чукча не писатель, Чукча читатель :)
с темже успехом можно en
с темже успехом можно en заменить на ru в ссылках что я дал выше
Не поверю :) Был приведён
Не поверю :)
Был приведён ответ на вопрос: где ты (скорее всего и я и наверно - наиболее логично).
Но не факт, что эта дока является оптимальной с точки зрения конкретной (произвольной, на данном этапе не конкретизированной) задачи.
И совершенно не факт, что отвечавший имел в виду именно эту(и) доку(и).
ЗЫ: Ссылка, приведённая отписавшимся после тебя товарищем только подтверждает это утверждение.
:wq
--
Live free or die