Запрет вызова компилятора {Almost SOLVED}
DCrystal 28 марта, 2007 - 15:47
Вот вопросик появился. Как запретить юзеру запускать gcc/cc .
Желательно дистро-платформенно)), т.е. не средствами одной дженты..
и еще, по ссш подключены несколько пользователей. Как кикнуть кого-то из них (рут имееца). Сорри за глупые вопросы :(
Спасибо.
»
- Для комментирования войдите или зарегистрируйтесь
Так а юзеры
Так а юзеры вроде по дефолту не имеют прав на компилирование чего либо.Разве не так?
_________________
Celeron 766,256ram,geforce MX440,hdd ide samsung 120
Portage 2.1.1-r2 (default-linux/x86/2006.1, gcc-4.1.1, glibc-2.4-r4, 2.6.18-gentoo-r6 i686)
ACCEPT_KEYWORDS="x86"
CFLAGS="-O2 -march=pentium3 -fomit-frame-pointer"
Re: Так а юзеры
по ходу имеют :(
нашол бинарники скомпиленные в дом.каталоге <_<
систему не я ставел просто, ничего сказать не могу. Надо срочно запретить вызывать компилер :(
и второй вопрос (про ссш) в силе.
и почему при
и почему при дейсвтии
# iptables -A INPUT -p tcp -s ip_address -j DROP
пользователя не отключает от ссш (--dport 22 тоже ставел).
т.е. при netstat -a он все еще виден. :(
так, первую
так, первую проблему вроде решил.
# chmod 400 /usr/bin/gcc
вроде пользователям терь недоступен стал.
Насчет ssh: 1)
Насчет ssh:
1) Сделать ps aux
2) на каждую сессию каждого пользователя найдется что-то вроде этого:
root 21993 0.1 2.2 6780 2092 ? Ss 16:55 0:00 sshd: uncle [priv]
uncle 21996 0.0 1.5 6780 1456 ? S 16:55 0:00 sshd: uncle@pts/0
3) завершаем любой из этих процессов - kill 21996 или kill 21993
Точно )) спасиб ,
Точно ))
спасиб , как -то сам не дошурупил :(
ps -U username | grep ssh а
ps -U username | grep sshа потом kill PID
_________________
За свои слова и поступки отвечу. Всегда.
всем спасибо,
всем спасибо, действительно, чет я протупил.
А какая
А какая разница, может пользователь вызывать gcc на сервере или нет? Если он может писать на диск и может выполнить команду по ssh, то он может записать на диск любую программу и выполнить её, в том числе и если раздел noexec.
Re: А какая
мм...ну а если "хацкеру" нужно сплоит собрать?
Ну я соберу
Ну я соберу этот сплоит и на своей машине, причем используя crossdev под любую архитектуру. А если у меня есть ssh, то способ залить бинарник на машину я найду, причем далеко не один.
А если там будет бинарник, то и щапущу его, даже, если executable бит не стоит.
Хорошо, вы меня
Хорошо, вы меня убедили в принципе. (хотя я считаю, что большинство скрипт-кидисов это все-таки "убъет").
Что вы можете посоветовать, чтобы обезопасить сервер?
Не давать ссш?
1) перевесить ssh
1) перевесить ssh на нестандартный порт
2) запретить root логиниться по ssh
3) по возможности не пользоваться su, убрать как можно больще пользователей из группы wheel
4) использовать sudo вместо su
Re: 1) перевесить ssh
1. смысл то какой?это веб-сервак, к нему логинятся клиенты.
2.смысл опять не в этом.
3.см п.2
4. ни то.
прочитайте внимательно тему, плз.
2 KiberGus -жду ответа =)
А для чего
А для чего клиентам ssh? Как они его используют?
Пересобери openssh с use флагом chroot, в пути домашних директорий пользователей тогда можно вставлять последовательность "/./" и демон при заходе пользователя будет чрутиться внутрь директории до "/./". Ну и правильно подобрать chroot окружение, причем сделать все не относящееся к дирекотриям с веб доступным только на чтение, в смысле диск только на чтение.
Если ssh все-таки нужен, выдели минимально необходимый набор программ и поставь в chroot только их.
Re: А для чего
1.хз, тоже вот задумался (сервак не мой говорю) ща ))
2. там сентОс))
3.по поводу чрута, можно доки какие-то?