abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
dnes 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 1
dnes 11:00 | Zajímavý článek

Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.

Ladislav Hagara | Komentářů: 4
dnes 08:22 | Bezpečnostní upozornění

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat

… více »
Ladislav Hagara | Komentářů: 2
dnes 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 1
včera 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 9
včera 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
včera 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 8
16.10. 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
16.10. 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (15%)
 (2%)
 (0%)
 (2%)
 (71%)
 (11%)
Celkem 55 hlasů
 Komentářů: 3, poslední dnes 20:46
    Rozcestník

    Dotaz: Zákaz procházení adresářové struktury pro uživatele

    26.1.2016 12:47 pajito | skóre: 3
    Zákaz procházení adresářové struktury pro uživatele
    Přečteno: 642×
    Dobrý den, rád bych na serveru, kam mají přístup uživatelé uvedení v LDAPu, zakázal procházení adresářové struktury v ubuntu 12.04. Aby nemohli otevřít případně změnit soubory v /etc či jiných adresářích, kromě těch, kam jim to povolím, např. home složka. Můžete mi poradit jak toho docílit?

    Děkuji za každou radu

    Řešení dotazu:


    Odpovědi

    Jendа avatar 26.1.2016 12:50 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Změnit snad nemůžou už teď.

    setfacl -Rm user:jenda:--- /etc; setfacl -Rm default:user:jenda:--- /etc
    26.1.2016 12:51 r
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Otazka na telo: pres jakou sluzbu? Prochazeji adresarovou strukturu na disku pres ssh, ftp, cifs, ...? Podle sluzby proved chroot uzivatelu.
    26.1.2016 13:38 pajito | skóre: 3
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    mohou se přihlásit pomocí sftp, ftp a ssh
    26.1.2016 14:04 r
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Cekal jsem trosku jinou odpoved, ale co uz.
    Tak google a zadam vsftpd (pokud mam vsftpd, proftpd, ...) chroot user, atd. Pro ssh chroot ssh user, atd.
    Max avatar 26.1.2016 14:13 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    ftp servery umí chroot sami o sobě. Pokud jde o ssh/sftp, tak bych použil jailkit
    Zdar Max
    Měl jsem sen ... :(
    26.1.2016 15:41 Sten
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    SFTP a FTP jde chrootovat. SSH sice teoreticky také, ale uživatelé pak nemohou spouštět binárky mimo ten adresář. A pokud povolíte /usr/bin, tak ty binárky často potřebují i přístup do /etc, aby fungovaly nějak rozumně.

    Pro SSH přístupy bývá IMO vhodnější vytvořit virtuál, kde v /etc není nic citlivého.
    Max avatar 26.1.2016 22:20 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Pro ssh chroot se právě používá jailkit, který vytvoří chroot se všemi app, které máš v jeho nastavení nadefinované.
    Vytvoří ti tedy v domovském adresáři "etc, var, usr, lib" apod. + v návaznosti na seznam app, které chceš mít součástí chrootu, zjistí závisloti na konkrétních knihovnách a ty také nakopíruje. Uživatel má tedy klasickou adresářovou strukturu, jen s tím rozdílem, že tam má tebou definované app + nezbytné knihovny a celé to je zastřešeno aclkem, aby nemohl nic upravovat apod. V /etc/passwd apod. je jen jeho uživatel, nic jiného atd.
    Je to bezpečné a nenáročné řešení. Virtual peer user je úplně zbytečný overkill.
    Zdar Max
    Měl jsem sen ... :(
    27.1.2016 10:16 MP
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    A upgraduje je taktez?
    Max avatar 27.1.2016 15:21 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    jk_update
    Zdar Max
    Měl jsem sen ... :(
    27.1.2016 16:33 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    K tomuhle slouží na souborovém systému oprávnění. K tomu, co popisujete, stačí klasická unixová oprávnění – každý soubor má přiřazeného uživatele (vlastníka) a skupinu, a má určená oprávnění pro vlastníka, skupinu a pro ostatní. Pokud je uživatel shodný s vlastníkem souboru, uplatní se na něj oprávnění pro vlastníka, pokud je členem skupiny, které patří soubor, uplatní se na něj práva skupiny, v ostatních případech se na něj uplatní práva pro ostatní. Pozor, vyhodnocuje se to v tomhle pořadí a první vyhrává, tj. pokud je uživatel vlastník souboru a zároveň je členem skupiny souboru, uplatní se jen práva vlastníka a pro daného uživatele je úplně jedno, jaká jsou nastavena práva pro skupinu. Práva jsou tři, r (read), w (write) a x (eXecute). Na souborech znamená právo r právo číst obsah souboru, právo w právo soubor editovat, a právo x právo soubor spustit (jako spustitelnou binárku – nevztahuje se to na skripty, tam spouštíte binárku interpretu a ta pouze čte soubor se skriptem). Na adresáři znamená právo r právo vypsat seznam souborů v adresáři, právo w znamená možnost vytvářet, přejmenovávat a mazat soubory v adresáři, právo x znamená právo vstoupit do adresáře (udělat do něj cd) – bez toho práva se nedostanete ani do podadresářů (když uděláte cd /a/b/c a nemáte právo x na /a, dovnitř se nedostanete, interně se to provádí jako tři postupné skoky vždy o jeden adresář.) Pozor na to, že i běžný uživatel potřebuje oprávnění číst na spoustu souborů v /etc, na druhou stranu v běžných distribucích jsou výchozí práva nastavena rozumně, takže běžný uživatel nebude mít práva zapisovat třeba nikam do /etc.

    Omezovat přístup až na úrovni konkrétních programů, jak tady píšou ostatní, je spíš taková obezlička, vždycky v tom programu může být nějaká chyba nebo si neuvědomíte nějakou interakci a uživatel vám z toho omezení uteče. To, co jsem popsal já, jsou oprávnění přímo na úrovni operačního systému, ty žádný program neobejde, i kdyby se na hlavu stavěl.
    Josef Kufner avatar 27.1.2016 19:42 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    … leda by zneužil díru v jádře (viz rootování Android telefonů).

    Jinak pokud jde o to, aby uživatel neviděl obsah adresáře, lze tam ponechat x, ale odebrat r, takže pokud zná název souboru, může k němu, ale nezjistí, jaké další soubory tam jsou. Běžně se to nastavuje u různých adresářů ve /var/spool.

    Pak je tam ještě pár dalších věcí, konkrétně sticky bit, SUID a SGID bity – unix oprávnění josu čtyři číslice v osmičkové soustavě. O komentář výše jsou popsané poslední tři.

    Doporučuji si přečíst nějaké povídání o tomto, nejspíš zjistíš, že to opravdu stačí.
    Hello world ! Segmentation fault (core dumped)
    27.1.2016 22:43 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    a právo x právo soubor spustit (jako spustitelnou binárku – nevztahuje se to na skripty, tam spouštíte binárku interpretu a ta pouze čte soubor se skriptem).
    No ale to myslíš snad jen skripty, které spouštíš např. perl skript.pl, ale když máš skript script na jehož začátku mám #!/usr/bin/perl a potom pokračuje kód v perlu, tak mu musíš přiřadit x jinak ti shell oznámí, že ho nespustí. (a tomuto říkáme také skript). Tedy alespoň u mne. To co napsal mne překvapilo a tak jsem zkusil skriptům odebrat x.
    Josef Kufner avatar 28.1.2016 01:43 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    To zmotal s SUID bitem. Právno na spuštění potřebuješ jak u interpretu, tak u skriptu.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 13:03 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Kecas.
    ~$ cat kecas.sh 
    #!/bin/sh
    echo Kecas
    ~$ ls -l kecas.sh 
    -rw-rw-r-- 1 user user 21 led 28 13:01 kecas.sh
    ~$ bash kecas.sh 
    Kecas
    
    Josef Kufner avatar 28.1.2016 13:22 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Na to abys ten skript spustil. Tedy abys mohl udělat:
    ./kecas.sh
    To, že ručně spustíš interpret je o něčem jiném. Navíc v tomto případě spouštíš jiný interpret, než jaký je uveden ve skriptu.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 14:39 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Z pohledu oprávnění je to tak, že odebráním práva x skriptu nezabráníte jeho spuštění. Interpretaci #! na začátku skriptu dělá shell, takže si klidně můžete napsat shell, který vám ./script.pl spustí, i když nebude mít právo x. Na druhou stranu když máte nějaký binární program bez práva x, ale s právem r, taky vám nic nebrání udělat si jeho kopii a té právo x nastavit a program spustit. Takže ve výsledku je to vlastně stejné.
    Josef Kufner avatar 28.1.2016 15:47 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Interpretaci #! na začátku skriptu dělá shell, [...]
    Ne. Tu interpretaci dělá jádro.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 16:38 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Aha. Obecně na unixových systémech to dělá shell, ale někde to je zjevně zadrátované i do jádra.
    28.1.2016 22:41 pako
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    No já nevím. Podíval jsem se na další UNIXový systém (Solaris) a dělá to úplně stejně jako Linux. Rodič (shell kde to pouštím) udělá fork() a pak nový proces zalidní execve("./test.csh"...). Do teď jsem byl přesvědčen, že systémová volání nejsou zpracovávána shellem. Takže si nejsem jistý ani správností ani obecností tvrzení, že to dělá shell.
    Josef Kufner avatar 28.1.2016 23:50 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Kdyby to dělal shell, tak by to naprosto postrádalo pointu celé té věci. Jsem si celkem jistý, že to bude záležitostí jádra všude, co jen trochu smrdí unixem, tedy vyjma Windows, kde to je podle přípony.
    Hello world ! Segmentation fault (core dumped)
    29.1.2016 08:13 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    man bash
    COMMAND EXECUTION

    If the command name contains no slashes, the shell attempts to locate it. […]

    If the name is neither a shell function nor a builtin, and contains no slashes, bash searches each element of the PATH for a directory containing an executable file by that name. […]

    If the search is successful, or if the command name contains one or more slashes, the shell executes the named program in a separate execution environment. Argument 0 is set to the name given, and the remaining arguments to the command are set to the arguments given, if any.

    If this execution fails because the file is not in executable format, and the file is not a directory, it is assumed to be a shell script, a file containing shell commands. A subshell is spawned to execute it. This subshell reinitializes itself, so that the effect is as if a new shell had been invoked to handle the script, with the exception that the locations of commands remembered by the parent (see hash below under SHELL BUILTIN COMMANDS) are retained by the child.

    If the program is a file beginning with #!, the remainder of the first line specifies an interpreter for the program. The shell executes the specified interpreter on operating systems that do not handle this executable format themselves. The arguments to the interpreter consist of a single optional argument following the interpreter name on the first line of the program, followed by the name of the program, followed by the command arguments, if any.
    man zshmisc
    COMMAND EXECUTION If a command name contains no slashes, the shell attempts to locate it. […]

    Otherwise, the shell searches each element of $path for a directory containing an executable file by that name. If the search is unsuccessful, the shell prints an error message and returns a nonzero exit status.

    If execution fails because the file is not in executable format, and the file is not a directory, it is assumed to be a shell script. /bin/sh is spawned to execute it. If the program is a file beginning with `#!', the remainder of the first line specifies an interpreter for the program. The shell will execute the specified interpreter on operating systems that do not handle this executable format in the kernel.
    (Až k té části „pokud to nedělá kernel“ jsem poprvé nedočetl, proto jsem byl přesvědčen, že to dělá jenom shell.)
    Max avatar 28.1.2016 14:50 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Nesouhlasím. Chroot/jail je dobrý, že chci třeba zamaskovat obsah "/etc/passwd" a "/etc/group", s jailem to udělám, bez něj nikoli.
    A proč maskovat tyto soubory? Mno, třeba nechci,aby uživatel viděl, kdo všechno má na server přístup.
    Těch důvodů, proč dělat chroot/jail je více. A navíc, to že někdo dělá chroot / jail neznamená, že musí mít nutně bordel v oprávnění v systému. Člověk by měl mít jednak pořádek v oprávněních + třeba u hostingu je vhodné mít další vrstvu navíc a mít uživatele v jailu.
    Resp. pořešený oprávnění v rámci systému + jail + acl + třeba i selinux.
    Já prostě nevidím důvod, proč nemít více ochranných vrstev.
    Zdar Max
    Měl jsem sen ... :(
    28.1.2016 15:10 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Více ochranných vrstev klidně může být. Ale nikdo tu nenapsal, že se takováhle věc řeší především nastavením souborových oprávnění, a teprve pak případně můžu přidávat další vrstvy. Navíc chroot funguje jen pro vzdálený přístup, chroot pro lokální přístup by asi znamenalo dost ohackovat login a bůhví, jak by to pak fungovalo.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.