Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

как сделать чтобы пользователь видел только /home/user

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
PashaP



Зарегистрирован: 06.06.2005
Сообщения: 113

СообщениеДобавлено: Чт Фев 02 2006 17:14    Заголовок сообщения: как сделать чтобы пользователь видел только /home/user Ответить с цитатой

Как в RH7.x сделать чтобы пользователь с консоли (подключается к серваку по ssh) видел только свой /home/user и мог идти дальше по ssh. Точнее говоря, мне нужно чтобы некий юзер смог приконнектиться к серваку по ssh и больше ничего не мог делать как только подключиться к другому серверу в инете по ssh (грубо говоря сделать ssh прокси).
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
crash



Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск

СообщениеДобавлено: Чт Фев 02 2006 17:27    Заголовок сообщения: Ответить с цитатой

может jail подойдет
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Чт Фев 02 2006 17:49    Заголовок сообщения: Ответить с цитатой

Подсказка:
сделай chroot-окружение. Оставь ему только bash и ssh. Так же возможно понадобятся некоторые библиотеки, но их немного.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
PashaP



Зарегистрирован: 06.06.2005
Сообщения: 113

СообщениеДобавлено: Вс Фев 05 2006 22:32    Заголовок сообщения: Ответить с цитатой

А случаем доки на эту тему никто не видел?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
DmitriyS



Зарегистрирован: 19.06.2002
Сообщения: 381
Откуда: Е-бург

СообщениеДобавлено: Пн Фев 06 2006 07:21    Заголовок сообщения: Ответить с цитатой

http://www.jmcresearch.com/projects/jail/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
PashaP



Зарегистрирован: 06.06.2005
Сообщения: 113

СообщениеДобавлено: Пн Фев 06 2006 19:21    Заголовок сообщения: Ответить с цитатой

and3008 писал(а):
Подсказка:
сделай chroot-окружение. Оставь ему только bash и ssh. Так же возможно понадобятся некоторые библиотеки, но их немного.


Так и сделал.
http://www.tjw.org/chroot-login-HOWTO/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
PashaP



Зарегистрирован: 06.06.2005
Сообщения: 113

СообщениеДобавлено: Ср Фев 08 2006 13:14    Заголовок сообщения: Ответить с цитатой

только вот один трабл.
Юзер в "песочнице" ничего не может создавать.
Вот что имеем внутри /home/vasja
drwxrwxr-x 2 root root 4096 \uffff\uffff\uffff 8 13:21 bin
drwxrwxr-x 2 root root 4096 \uffff\uffff\uffff 6 15:40 dev
drwxrwxr-x 2 root root 4096 \uffff\uffff\uffff 8 13:10 etc
drwxrwxr-x 2 vasja vasja 4096 \uffff\uffff\uffff 6 19:23 home
drwxrwxr-x 2 root root 4096 \uffff\uffff\uffff 6 19:21 lib
drwxrwxr-x 3 root root 4096 \uffff\uffff\uffff 6 15:33 usr

Юзер заходит под собой (vasja) пытается например создать директорию в своем домашнем каталоге (/home/vasja/home) и получает:
bash-2.04$ mkdir 11
mkdir: cannot create directory `11': Permission denied

В чем дело?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Чт Фев 09 2006 00:52    Заголовок сообщения: Ответить с цитатой

А если так: mkdir /home/111 ?

И еще. Очень хочется увидеть ls -l когда под Васей зайти в систему.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
PashaP



Зарегистрирован: 06.06.2005
Сообщения: 113

СообщениеДобавлено: Пт Фев 17 2006 21:49    Заголовок сообщения: Ответить с цитатой

Сделал:
bash-2.04$ ls -l
total 24
drwxrwxr-x 2 root root 4096 Feb 17 18:54 bin
drwxrwxr-x 2 root root 4096 Feb 6 12:40 dev
drwxrwxr-x 2 root root 4096 Feb 8 10:10 etc
drwxrwxr-x 3 608 612 4096 Feb 8 11:36 home
drwxrwxr-x 2 root root 4096 Feb 6 16:21 lib
drwxrwxr-x 3 root root 4096 Feb 6 12:33 usr


После этого в файле passwd который живет в его песочнице сделал
vasja:x:608:612::/home:/bin/bash

и все стало ок Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
PashaP



Зарегистрирован: 06.06.2005
Сообщения: 113

СообщениеДобавлено: Пн Фев 20 2006 19:05    Заголовок сообщения: Ответить с цитатой

Речь шла о /home в которая уже в его песочнице. Там ему все можно
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Пн Фев 27 2006 11:49    Заголовок сообщения: Ответить с цитатой

Цитата:
видел только свой /home/user

Что значит "видел"? Я так понимаю, он должен запускать всякие программы типа cat, ls, grep и ищё пара сотен? Тогда ему нужны все эти программы и прюс ещё ssh-клиент; а к ним - разделяемые библиотеки! Не слишком ли сильная защита?

Я бы оставил всё как есть. Ну, можно сделать 'chmod o-r' для всех директорий в корне, кроме /home (или где там у него домашний каталог лежит) - для простых юзеров вполне достаточно. Ну и. естественно, не оставлять доступ к секретным файлам (а системные пусть читает хоть до посинения).

Правда, надо сильно подумать, надо ли оставлять доступ к cc, perl и wget - уж очень часто они используются в ходе взлома. Ну так передать их всех в группу "доверенные_юзеры", а потом 'chmod o-x'. В принципе, все права отлично настраиваются без jail и даже без chroot.

PS: Есть ещё ограничения на уровне shell, когда юзеру позволяют запускать только перечисленные программы. Читай Федорчука - там это было.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...