abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 22:44 | Nová verze

Po třech měsících vývoje od vydání verze 5.5.0 byla vydána verze 5.6.0 správce digitálních fotografií digiKam (digiKam Software Collection). Do digiKamu se mimo jiné vrátila HTML galerie a nástroj pro vytváření videa z fotografií. V Bugzille bylo uzavřeno více než 81 záznamů.

Ladislav Hagara | Komentářů: 0
včera 17:44 | Nová verze

Byla vydána verze 9.3 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab. Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 0
včera 13:53 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-06-21 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Z novinek lze zdůraznit IDE Thonny pro vývoj v programovacím jazyce Python a především offline verzi Scratche 2.0. Ten bylo dosud možné používat pouze online. Offline bylo možné používat pouze Scratch ve verzi 1.4. Z nového Scratchu lze ovládat také GPIO piny. Scratch 2.0 vyžaduje Flash.

Ladislav Hagara | Komentářů: 0
22.6. 14:24 | Nová verze

Opera 46, verze 46.0.2597.26, byla prohlášena za stabilní. Nejnovější verze tohoto webového prohlížeče je postavena na Chromiu 59. Z novinek lze zmínit například podporu APNG (Animated Portable Network Graphics). Přehled novinek pro vývojáře na blogu Dev.Opera. Oznámení o vydání zmiňuje také první televizní reklamu.

Ladislav Hagara | Komentářů: 0
22.6. 13:37 | IT novinky

I čtenáři AbcLinuxu před dvěma lety vyplňovali dotazníky věnované Retro ThinkPadu. Nyní bylo potvrzeno, že iniciativa Retro ThinkPad je stále naživu a Lenovo připravuje speciální edici ThinkPadu jako součást oslav jeho 25. výročí.

Ladislav Hagara | Komentářů: 16
22.6. 10:22 | Komunita

Bylo oznámeno, že frontend a runtime programovacího jazyka D bude začleněn do kolekce kompilátorů GCC (GNU Compiler Collection). Správcem byl ustanoven Iain Buclaw.

Ladislav Hagara | Komentářů: 7
21.6. 18:47 | IT novinky
Bulharská firma Olimex je známá jako výrobce kvalitních mini arm desek, u nichž se snaží být maximálně open source. Kromě velké otevřenosti taktéž zaručují dlouhodobou podporu výroby, což je vítáno ve firemním prostředí. Nyní firma ohlásila ESP32-GATEWAY, malou IoT desku s Wifi, Bluetooth, Ethernetem a 20 GPIO porty za 22EUR. Tato malá deska je ořezanou verzí ESP32-EVB.
Max | Komentářů: 21
21.6. 18:00 | Zajímavý článek

LinuxGizmos (v dubnu loňského roku přejmenován na HackerBoards a v lednu letošního roku zpět na LinuxGizmos) zveřejnil výsledky čtenářské ankety o nejoblíbenější jednodeskový počítač (SBC) v roce 2017. Letos se vybíralo z 98 jednodeskových počítačů (Tabulky Google). Nejoblíbenějšími jednodeskovými počítači v letošním roce jsou Raspberry Pi 3 Model B, Raspberry Pi Zero W a Raspberry Pi 2 Model B.

Ladislav Hagara | Komentářů: 0
21.6. 14:22 | Pozvánky

Ne-konference jOpenSpace 2017 se koná od 13. do 15. října 2017 v hotelu Farma u Pelhřimova. Registrace účastníků je nutná. Více informací na stránkách ne-konference.

Zdenek H. | Komentářů: 0
21.6. 14:11 | Nová verze

Vyšla nová verze 1.2 audio kodeku Opus, která přináší mnoho drobných optimalizací a tím i celkové vylepšení poměru bitrate/kvalita. Fullband (do 20 kHz) stereo hudba je možná již od 32 kbit/s, fullband mono řeč již od 14 kbit/s. Více informací sepsal vývojář Opusu J. M. Valin formou již tradiční demo stránky.

Petr Tomášek | Komentářů: 21
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (31%)
 (1%)
 (9%)
 (44%)
 (9%)
Celkem 824 hlasů
 Komentářů: 65, poslední 1.6. 19:16
    Rozcestník

    Dotaz: Zákaz procházení adresářové struktury pro uživatele

    26.1.2016 12:47 pajito | skóre: 3
    Zákaz procházení adresářové struktury pro uživatele
    Přečteno: 639×
    Dobrý den, rád bych na serveru, kam mají přístup uživatelé uvedení v LDAPu, zakázal procházení adresářové struktury v ubuntu 12.04. Aby nemohli otevřít případně změnit soubory v /etc či jiných adresářích, kromě těch, kam jim to povolím, např. home složka. Můžete mi poradit jak toho docílit?

    Děkuji za každou radu

    Řešení dotazu:


    Odpovědi

    Jendа avatar 26.1.2016 12:50 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Změnit snad nemůžou už teď.

    setfacl -Rm user:jenda:--- /etc; setfacl -Rm default:user:jenda:--- /etc
    26.1.2016 12:51 r
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Otazka na telo: pres jakou sluzbu? Prochazeji adresarovou strukturu na disku pres ssh, ftp, cifs, ...? Podle sluzby proved chroot uzivatelu.
    26.1.2016 13:38 pajito | skóre: 3
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    mohou se přihlásit pomocí sftp, ftp a ssh
    26.1.2016 14:04 r
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Cekal jsem trosku jinou odpoved, ale co uz.
    Tak google a zadam vsftpd (pokud mam vsftpd, proftpd, ...) chroot user, atd. Pro ssh chroot ssh user, atd.
    Max avatar 26.1.2016 14:13 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    ftp servery umí chroot sami o sobě. Pokud jde o ssh/sftp, tak bych použil jailkit
    Zdar Max
    Měl jsem sen ... :(
    26.1.2016 15:41 Sten
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    SFTP a FTP jde chrootovat. SSH sice teoreticky také, ale uživatelé pak nemohou spouštět binárky mimo ten adresář. A pokud povolíte /usr/bin, tak ty binárky často potřebují i přístup do /etc, aby fungovaly nějak rozumně.

    Pro SSH přístupy bývá IMO vhodnější vytvořit virtuál, kde v /etc není nic citlivého.
    Max avatar 26.1.2016 22:20 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Pro ssh chroot se právě používá jailkit, který vytvoří chroot se všemi app, které máš v jeho nastavení nadefinované.
    Vytvoří ti tedy v domovském adresáři "etc, var, usr, lib" apod. + v návaznosti na seznam app, které chceš mít součástí chrootu, zjistí závisloti na konkrétních knihovnách a ty také nakopíruje. Uživatel má tedy klasickou adresářovou strukturu, jen s tím rozdílem, že tam má tebou definované app + nezbytné knihovny a celé to je zastřešeno aclkem, aby nemohl nic upravovat apod. V /etc/passwd apod. je jen jeho uživatel, nic jiného atd.
    Je to bezpečné a nenáročné řešení. Virtual peer user je úplně zbytečný overkill.
    Zdar Max
    Měl jsem sen ... :(
    27.1.2016 10:16 MP
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    A upgraduje je taktez?
    Max avatar 27.1.2016 15:21 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    jk_update
    Zdar Max
    Měl jsem sen ... :(
    27.1.2016 16:33 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    K tomuhle slouží na souborovém systému oprávnění. K tomu, co popisujete, stačí klasická unixová oprávnění – každý soubor má přiřazeného uživatele (vlastníka) a skupinu, a má určená oprávnění pro vlastníka, skupinu a pro ostatní. Pokud je uživatel shodný s vlastníkem souboru, uplatní se na něj oprávnění pro vlastníka, pokud je členem skupiny, které patří soubor, uplatní se na něj práva skupiny, v ostatních případech se na něj uplatní práva pro ostatní. Pozor, vyhodnocuje se to v tomhle pořadí a první vyhrává, tj. pokud je uživatel vlastník souboru a zároveň je členem skupiny souboru, uplatní se jen práva vlastníka a pro daného uživatele je úplně jedno, jaká jsou nastavena práva pro skupinu. Práva jsou tři, r (read), w (write) a x (eXecute). Na souborech znamená právo r právo číst obsah souboru, právo w právo soubor editovat, a právo x právo soubor spustit (jako spustitelnou binárku – nevztahuje se to na skripty, tam spouštíte binárku interpretu a ta pouze čte soubor se skriptem). Na adresáři znamená právo r právo vypsat seznam souborů v adresáři, právo w znamená možnost vytvářet, přejmenovávat a mazat soubory v adresáři, právo x znamená právo vstoupit do adresáře (udělat do něj cd) – bez toho práva se nedostanete ani do podadresářů (když uděláte cd /a/b/c a nemáte právo x na /a, dovnitř se nedostanete, interně se to provádí jako tři postupné skoky vždy o jeden adresář.) Pozor na to, že i běžný uživatel potřebuje oprávnění číst na spoustu souborů v /etc, na druhou stranu v běžných distribucích jsou výchozí práva nastavena rozumně, takže běžný uživatel nebude mít práva zapisovat třeba nikam do /etc.

    Omezovat přístup až na úrovni konkrétních programů, jak tady píšou ostatní, je spíš taková obezlička, vždycky v tom programu může být nějaká chyba nebo si neuvědomíte nějakou interakci a uživatel vám z toho omezení uteče. To, co jsem popsal já, jsou oprávnění přímo na úrovni operačního systému, ty žádný program neobejde, i kdyby se na hlavu stavěl.
    Josef Kufner avatar 27.1.2016 19:42 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    … leda by zneužil díru v jádře (viz rootování Android telefonů).

    Jinak pokud jde o to, aby uživatel neviděl obsah adresáře, lze tam ponechat x, ale odebrat r, takže pokud zná název souboru, může k němu, ale nezjistí, jaké další soubory tam jsou. Běžně se to nastavuje u různých adresářů ve /var/spool.

    Pak je tam ještě pár dalších věcí, konkrétně sticky bit, SUID a SGID bity – unix oprávnění josu čtyři číslice v osmičkové soustavě. O komentář výše jsou popsané poslední tři.

    Doporučuji si přečíst nějaké povídání o tomto, nejspíš zjistíš, že to opravdu stačí.
    Hello world ! Segmentation fault (core dumped)
    27.1.2016 22:43 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    a právo x právo soubor spustit (jako spustitelnou binárku – nevztahuje se to na skripty, tam spouštíte binárku interpretu a ta pouze čte soubor se skriptem).
    No ale to myslíš snad jen skripty, které spouštíš např. perl skript.pl, ale když máš skript script na jehož začátku mám #!/usr/bin/perl a potom pokračuje kód v perlu, tak mu musíš přiřadit x jinak ti shell oznámí, že ho nespustí. (a tomuto říkáme také skript). Tedy alespoň u mne. To co napsal mne překvapilo a tak jsem zkusil skriptům odebrat x.
    Josef Kufner avatar 28.1.2016 01:43 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    To zmotal s SUID bitem. Právno na spuštění potřebuješ jak u interpretu, tak u skriptu.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 13:03 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Kecas.
    ~$ cat kecas.sh 
    #!/bin/sh
    echo Kecas
    ~$ ls -l kecas.sh 
    -rw-rw-r-- 1 user user 21 led 28 13:01 kecas.sh
    ~$ bash kecas.sh 
    Kecas
    
    Josef Kufner avatar 28.1.2016 13:22 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Na to abys ten skript spustil. Tedy abys mohl udělat:
    ./kecas.sh
    To, že ručně spustíš interpret je o něčem jiném. Navíc v tomto případě spouštíš jiný interpret, než jaký je uveden ve skriptu.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 14:39 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Z pohledu oprávnění je to tak, že odebráním práva x skriptu nezabráníte jeho spuštění. Interpretaci #! na začátku skriptu dělá shell, takže si klidně můžete napsat shell, který vám ./script.pl spustí, i když nebude mít právo x. Na druhou stranu když máte nějaký binární program bez práva x, ale s právem r, taky vám nic nebrání udělat si jeho kopii a té právo x nastavit a program spustit. Takže ve výsledku je to vlastně stejné.
    Josef Kufner avatar 28.1.2016 15:47 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Interpretaci #! na začátku skriptu dělá shell, [...]
    Ne. Tu interpretaci dělá jádro.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 16:38 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Aha. Obecně na unixových systémech to dělá shell, ale někde to je zjevně zadrátované i do jádra.
    28.1.2016 22:41 pako
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    No já nevím. Podíval jsem se na další UNIXový systém (Solaris) a dělá to úplně stejně jako Linux. Rodič (shell kde to pouštím) udělá fork() a pak nový proces zalidní execve("./test.csh"...). Do teď jsem byl přesvědčen, že systémová volání nejsou zpracovávána shellem. Takže si nejsem jistý ani správností ani obecností tvrzení, že to dělá shell.
    Josef Kufner avatar 28.1.2016 23:50 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Kdyby to dělal shell, tak by to naprosto postrádalo pointu celé té věci. Jsem si celkem jistý, že to bude záležitostí jádra všude, co jen trochu smrdí unixem, tedy vyjma Windows, kde to je podle přípony.
    Hello world ! Segmentation fault (core dumped)
    29.1.2016 08:13 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    man bash
    COMMAND EXECUTION

    If the command name contains no slashes, the shell attempts to locate it. […]

    If the name is neither a shell function nor a builtin, and contains no slashes, bash searches each element of the PATH for a directory containing an executable file by that name. […]

    If the search is successful, or if the command name contains one or more slashes, the shell executes the named program in a separate execution environment. Argument 0 is set to the name given, and the remaining arguments to the command are set to the arguments given, if any.

    If this execution fails because the file is not in executable format, and the file is not a directory, it is assumed to be a shell script, a file containing shell commands. A subshell is spawned to execute it. This subshell reinitializes itself, so that the effect is as if a new shell had been invoked to handle the script, with the exception that the locations of commands remembered by the parent (see hash below under SHELL BUILTIN COMMANDS) are retained by the child.

    If the program is a file beginning with #!, the remainder of the first line specifies an interpreter for the program. The shell executes the specified interpreter on operating systems that do not handle this executable format themselves. The arguments to the interpreter consist of a single optional argument following the interpreter name on the first line of the program, followed by the name of the program, followed by the command arguments, if any.
    man zshmisc
    COMMAND EXECUTION If a command name contains no slashes, the shell attempts to locate it. […]

    Otherwise, the shell searches each element of $path for a directory containing an executable file by that name. If the search is unsuccessful, the shell prints an error message and returns a nonzero exit status.

    If execution fails because the file is not in executable format, and the file is not a directory, it is assumed to be a shell script. /bin/sh is spawned to execute it. If the program is a file beginning with `#!', the remainder of the first line specifies an interpreter for the program. The shell will execute the specified interpreter on operating systems that do not handle this executable format in the kernel.
    (Až k té části „pokud to nedělá kernel“ jsem poprvé nedočetl, proto jsem byl přesvědčen, že to dělá jenom shell.)
    Max avatar 28.1.2016 14:50 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Nesouhlasím. Chroot/jail je dobrý, že chci třeba zamaskovat obsah "/etc/passwd" a "/etc/group", s jailem to udělám, bez něj nikoli.
    A proč maskovat tyto soubory? Mno, třeba nechci,aby uživatel viděl, kdo všechno má na server přístup.
    Těch důvodů, proč dělat chroot/jail je více. A navíc, to že někdo dělá chroot / jail neznamená, že musí mít nutně bordel v oprávnění v systému. Člověk by měl mít jednak pořádek v oprávněních + třeba u hostingu je vhodné mít další vrstvu navíc a mít uživatele v jailu.
    Resp. pořešený oprávnění v rámci systému + jail + acl + třeba i selinux.
    Já prostě nevidím důvod, proč nemít více ochranných vrstev.
    Zdar Max
    Měl jsem sen ... :(
    28.1.2016 15:10 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Více ochranných vrstev klidně může být. Ale nikdo tu nenapsal, že se takováhle věc řeší především nastavením souborových oprávnění, a teprve pak případně můžu přidávat další vrstvy. Navíc chroot funguje jen pro vzdálený přístup, chroot pro lokální přístup by asi znamenalo dost ohackovat login a bůhví, jak by to pak fungovalo.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.