petterg Skrevet 23. februar 2004 Del Skrevet 23. februar 2004 Er det mulig å begrense tilgangen for en bruker som logger seg inn via ssh til å bare ha tilgang på filer i sitt eget hjemmeområde? (Altså ikke kunne gå å lese filer i f.x. /etc og /var/log som i utgangspunktet alle har lesetilgang til.) Grunnen til at jeg ønsker dette er å kunne opprette kontoer for brukere man ikke stoler på, mens brukere man faktisk stoler på ikke skal kunne merke noe til dette. Lenke til kommentar
xeon Skrevet 23. februar 2004 Del Skrevet 23. februar 2004 Vanlige brukere har som regel ikke tilgang til å lese filer under /var/log, og filer du ikke vil at folk skal kunne se under /etc bør du uansett endre rettighetene på. Men for å svare på spørsmålet så er det mulig, men det krever en del arbeid i forhold til filrettigheter/grupper og da er det like greit å frata alle retten til å se under /etc etc. Noen programmer trenger å kunne lese ting fra /etc så vær forsiktig med hva du gjør uleselig Lenke til kommentar
Cronius Skrevet 23. februar 2004 Del Skrevet 23. februar 2004 Dette har vært tatt opp før, finnes en patch / plugin / program av noe slag som lar deg jailroote et ssh-shell (er vel akkurat det du er ute etter?). Søk på forumet. Lenke til kommentar
petterg Skrevet 23. februar 2004 Forfatter Del Skrevet 23. februar 2004 Søk på "jailroot" gir ikke andre treff enn denne tråden. Noen forslag til søkeord? Situasjonen er den at jeg vil ikke frata alle retighetene til å gjøre det de allerede kan. Det kan f.x. være et prosjekt som pågår hvor eier og prosjektgruppa har lese+skrivetilgang på filene. Så har i tillegg alle andre lokalbrukere lesetilgang på alle prosjektfilene. Dette fungerer fint om filene settes til rw-rw-r--. Alle brukere som er på systemet nå er til å stole på. Problemet kommer når man vil at utenforstående folk skal få mulighet til å logge seg inn og hente / levere / prosessere filer, uten å få tilgang til mer enn akkurat det de skal ha tilgang på. Det er selvsagt flere måter å gå rundt problemet på. Enkleste er å sette opp en maskin til som server for "usikre" brukere. Eller man kunne ha laget et webgrensesnitt som gir tilgang til akkurat de prosessene man skal kjøre. Men det mest praktiske hadde vært å kunne sperre en bruker til å kun ha tilgang på filene i sitt hjemmeområde. Lenke til kommentar
GNUfan Skrevet 23. februar 2004 Del Skrevet 23. februar 2004 Problemet her er /bin, /usr/bin, og delvis /etc, /lib, /usr/lib, /tmp, etc.... For å logge inn, trengs /bin/bash, diverse pam-moduler i /lib (hvor også libc6 ligger), ++. Viss du vil chroote ssh-klienter, må du lage tilsvarende mapper i hjemmemappa (holder med symlinks). Det er stress, men det skal gå. Lenke til kommentar
Cronius Skrevet 23. februar 2004 Del Skrevet 23. februar 2004 Dette var den tråden jeg referete til: Begrense tilgang via ssh, SSH + Linux. Lenke til kommentar
petterg Skrevet 23. februar 2004 Forfatter Del Skrevet 23. februar 2004 Ser ut som jeg kan få noe ut av den tråden der, ja. Mange takk. Lenke til kommentar
moesen Skrevet 23. februar 2004 Del Skrevet 23. februar 2004 Ser ut som jeg kan få noe ut av den tråden der, ja. Mange takk. Si ifra om du får det til og fungere da... Lenke til kommentar
petterg Skrevet 26. februar 2004 Forfatter Del Skrevet 26. februar 2004 Sliter med å få kompilert openssh med patch! Klager på at zlib mangler, men den er der. Slev om jeg spesifiserer path klager den. Må lese litt i doc. Lenke til kommentar
laaknor Skrevet 26. februar 2004 Del Skrevet 26. februar 2004 Det jeg ser en kamerat av meg har gjort, er å ha alle brukerne i gruppa "users", og å ha den som primær gruppe. Alle hjemmeområder ol. er satt til 0705, og dermed får ikke andre medlemmer av users tilgang til andre users hjemmeområder. Å ta en "chgrp -R users /etc && chmod g-rx /etc -R" burde ikke ha mye å si, da i hvertfall i etc er det i utgangspunktet bare apache,root, etc. som skal ha tilgang, og de vil jo få det da det bare er "users" som sperres ute.... Ellers er det vel nok av chroot-jails der ute som i hvertfall begrenser godt.... eneste jeg har opplevd er at det er litt mye jobb å drifte i forhold til å legge inn programmer etc (skal jo virke med litt symlinker etc. men det må fortsatt settes opp) Lenke til kommentar
petterg Skrevet 8. mars 2004 Forfatter Del Skrevet 8. mars 2004 Redhat har lenge irritert meg, så jeg gadd ikke sitte å føkke rundt med kompileringa der. Nå har jeg lagt gentoo på alle linux maskinene untatt en, og prøvd openssh med chroot patch. Kompileringa gikk greit. Installasjonen like så, men siden jeg er relativt uerfaren med *inx systemer var det endel slit å få chroot til å funke som det skulle. Og det funker.... nesten! For alle brukere som ikke skal chroot'es ser det veldig bra ut. Også shell for chrootede brukere funker bra. Jeg har prøvd alle måter jeg kan finne om å bryte seg ut av fengselet, men det har foreløpig ikke gått. MEN det som ikke var så bra er at hvis en chrootet bruker logger seg på med sftp program, får han skrivetilgang på ALLE filer innenfor "fengselet". Fant løsninga. Kommer tilbake og skriver en howto i morra. -pg Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå