abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 12:30 | IT novinky

Nadace Raspberry Pi představila (YouTube) Raspberry Pi Zero W. Jedná se o vylepšenou verzi miniaturního počítače Raspberry Pi Zero s Wi-Fi a Bluetooth. Koupit jej lze za 10 dolarů. V prodeji je také oficiální krabička.

Ladislav Hagara | Komentářů: 1
dnes 00:55 | Komunita

Pocket (dříve Read It Later) (Wikipedie) je oblíbená služba umožňující uložit si článek z webu na později. V červnu 2015 s vydáním Firefoxu 38.0.5 se do té doby doplněk Pocket stal integrovanou součásti Firefoxu, a to i přes odpor celé řady uživatelů tohoto webového prohlížeče. Mozilla po měsících ustoupila a z integrované součásti se stal opět doplněk. Včera bylo oznámeno, že Mozilla službu Pocket kupila (Mozilla Blog, Pocket Blog).

Ladislav Hagara | Komentářů: 8
včera 23:55 | Pozvánky

Tentokrát jsme si pro vás připravili neobvyklou akci. Ve středu 1. 3. v 17:30 nás přivítá sdružení CZ.NIC ve svých prostorách v Milešovské ulici číslo 5 na Praze 3, kde si pro nás připravili krátkou prezentaci jejich činnosti. Následně navštívíme jejich datacentrum pod Žižkovskou věží. Provedou nás prostory, které jsou běžnému smrtelníkovi nedostupné!

… více »
xkucf03 | Komentářů: 0
včera 18:30 | Komunita

Jednodeskový počítač Raspberry Pi slaví již 5 let. Prodej byl spuštěn 29. února 2012. O víkendu proběhne v Cambridgi velká narozeninová party. Na YouTube bylo při této příležitosti zveřejněno video představující zajímavé projekty postavené na Raspberry Pi.

Ladislav Hagara | Komentářů: 1
včera 18:30 | Nová verze

Byla vydána verze 2017.1.1 svobodného multiplatformního leteckého simulátoru FlightGear. Kódový název a výchozí letiště této verze je Bergen. Přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 0
včera 10:50 | Zajímavý software

Mozilla.cz informuje o dvou nových experimentálních funkcích v programu Firefox Test Pilot (zprávička). Snooze Tabs slouží k odkládání panelů na později. Pokud vám někdo pošle odkaz, ale vy nemáte čas si stránku hned přečíst, můžete si naplánovat otevření panelu na později. Stačí kliknout na tlačítko a vybrat, kdy chcete panel otevřít. Firefox panel schová a ve vybraný čas znovu otevře. Pulse umožňuje ohodnotit, jak dobře stránka funguje, např. jak rychle se ve Firefoxu načetla. Podle nasbíraných hodnocení pak bude Mozilla prohlížeč ladit.

Ladislav Hagara | Komentářů: 8
včera 02:00 | IT novinky

V Barceloně probíhá veletrh Mobile World Congress 2017. Nokia na něm například představila (360° video na YouTube) novou Nokii 3310 (YouTube). BlackBerry představilo BlackBerry KEYone (YouTube) s QWERTY klávesnicí. LG představilo LG G6 (YouTube). Huawei HUAWEI P10 a P10 Plus. Samsung představil tablet Galaxy Tab S3.

Ladislav Hagara | Komentářů: 3
26.2. 14:00 | Nová verze

Komunita kolem Linuxu From Scratch (LFS) vydala Linux Linux From Scratch 8.0 a Linux From Scratch 8.0 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází především s Glibc 2.25 a GCC 6.3.0. Současně bylo oznámeno vydání verze 8.0 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.

Ladislav Hagara | Komentářů: 0
26.2. 11:11 | Nová verze

Byla vydána verze 0.10.0 webového prohlížeče qutebrowser (Wikipedie). Přehled novinek v příspěvku na blogu. Vývojáři qutebrowseru kladou důraz na ovladatelnost pomocí klávesnice a minimální GUI. Inspirovali se prohlížečem dwb a rozšířeními pro Firefox Vimperator a Pentadactyl. Prohlížeč qutebrowser je naprogramován v Pythonu a využívá PyQt5. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GNU GPL 3.

Ladislav Hagara | Komentářů: 35
25.2. 16:22 | Nová verze

Po pěti měsících od vydání Waylandu a Westonu 1.12.0 oznámil Bryce Harrington (Samsung) vydání Waylandu 1.13.0 a Westonu 2.0.0.

Ladislav Hagara | Komentářů: 9
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 732 hlasů
 Komentářů: 69, poslední dnes 01:02
    Rozcestník

    Dotaz: Zákaz procházení adresářové struktury pro uživatele

    26.1.2016 12:47 pajito | skóre: 3
    Zákaz procházení adresářové struktury pro uživatele
    Přečteno: 637×
    Dobrý den, rád bych na serveru, kam mají přístup uživatelé uvedení v LDAPu, zakázal procházení adresářové struktury v ubuntu 12.04. Aby nemohli otevřít případně změnit soubory v /etc či jiných adresářích, kromě těch, kam jim to povolím, např. home složka. Můžete mi poradit jak toho docílit?

    Děkuji za každou radu

    Řešení dotazu:


    Odpovědi

    Jendа avatar 26.1.2016 12:50 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Změnit snad nemůžou už teď.

    setfacl -Rm user:jenda:--- /etc; setfacl -Rm default:user:jenda:--- /etc
    Vox agroferti, vox Dei.
    26.1.2016 12:51 r
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Otazka na telo: pres jakou sluzbu? Prochazeji adresarovou strukturu na disku pres ssh, ftp, cifs, ...? Podle sluzby proved chroot uzivatelu.
    26.1.2016 13:38 pajito | skóre: 3
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    mohou se přihlásit pomocí sftp, ftp a ssh
    26.1.2016 14:04 r
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Cekal jsem trosku jinou odpoved, ale co uz.
    Tak google a zadam vsftpd (pokud mam vsftpd, proftpd, ...) chroot user, atd. Pro ssh chroot ssh user, atd.
    Max avatar 26.1.2016 14:13 Max | skóre: 64 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    ftp servery umí chroot sami o sobě. Pokud jde o ssh/sftp, tak bych použil jailkit
    Zdar Max
    Měl jsem sen ... :(
    26.1.2016 15:41 Sten
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    SFTP a FTP jde chrootovat. SSH sice teoreticky také, ale uživatelé pak nemohou spouštět binárky mimo ten adresář. A pokud povolíte /usr/bin, tak ty binárky často potřebují i přístup do /etc, aby fungovaly nějak rozumně.

    Pro SSH přístupy bývá IMO vhodnější vytvořit virtuál, kde v /etc není nic citlivého.
    Max avatar 26.1.2016 22:20 Max | skóre: 64 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Pro ssh chroot se právě používá jailkit, který vytvoří chroot se všemi app, které máš v jeho nastavení nadefinované.
    Vytvoří ti tedy v domovském adresáři "etc, var, usr, lib" apod. + v návaznosti na seznam app, které chceš mít součástí chrootu, zjistí závisloti na konkrétních knihovnách a ty také nakopíruje. Uživatel má tedy klasickou adresářovou strukturu, jen s tím rozdílem, že tam má tebou definované app + nezbytné knihovny a celé to je zastřešeno aclkem, aby nemohl nic upravovat apod. V /etc/passwd apod. je jen jeho uživatel, nic jiného atd.
    Je to bezpečné a nenáročné řešení. Virtual peer user je úplně zbytečný overkill.
    Zdar Max
    Měl jsem sen ... :(
    27.1.2016 10:16 MP
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    A upgraduje je taktez?
    Max avatar 27.1.2016 15:21 Max | skóre: 64 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    jk_update
    Zdar Max
    Měl jsem sen ... :(
    27.1.2016 16:33 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    K tomuhle slouží na souborovém systému oprávnění. K tomu, co popisujete, stačí klasická unixová oprávnění – každý soubor má přiřazeného uživatele (vlastníka) a skupinu, a má určená oprávnění pro vlastníka, skupinu a pro ostatní. Pokud je uživatel shodný s vlastníkem souboru, uplatní se na něj oprávnění pro vlastníka, pokud je členem skupiny, které patří soubor, uplatní se na něj práva skupiny, v ostatních případech se na něj uplatní práva pro ostatní. Pozor, vyhodnocuje se to v tomhle pořadí a první vyhrává, tj. pokud je uživatel vlastník souboru a zároveň je členem skupiny souboru, uplatní se jen práva vlastníka a pro daného uživatele je úplně jedno, jaká jsou nastavena práva pro skupinu. Práva jsou tři, r (read), w (write) a x (eXecute). Na souborech znamená právo r právo číst obsah souboru, právo w právo soubor editovat, a právo x právo soubor spustit (jako spustitelnou binárku – nevztahuje se to na skripty, tam spouštíte binárku interpretu a ta pouze čte soubor se skriptem). Na adresáři znamená právo r právo vypsat seznam souborů v adresáři, právo w znamená možnost vytvářet, přejmenovávat a mazat soubory v adresáři, právo x znamená právo vstoupit do adresáře (udělat do něj cd) – bez toho práva se nedostanete ani do podadresářů (když uděláte cd /a/b/c a nemáte právo x na /a, dovnitř se nedostanete, interně se to provádí jako tři postupné skoky vždy o jeden adresář.) Pozor na to, že i běžný uživatel potřebuje oprávnění číst na spoustu souborů v /etc, na druhou stranu v běžných distribucích jsou výchozí práva nastavena rozumně, takže běžný uživatel nebude mít práva zapisovat třeba nikam do /etc.

    Omezovat přístup až na úrovni konkrétních programů, jak tady píšou ostatní, je spíš taková obezlička, vždycky v tom programu může být nějaká chyba nebo si neuvědomíte nějakou interakci a uživatel vám z toho omezení uteče. To, co jsem popsal já, jsou oprávnění přímo na úrovni operačního systému, ty žádný program neobejde, i kdyby se na hlavu stavěl.
    Josef Kufner avatar 27.1.2016 19:42 Josef Kufner | skóre: 66
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    … leda by zneužil díru v jádře (viz rootování Android telefonů).

    Jinak pokud jde o to, aby uživatel neviděl obsah adresáře, lze tam ponechat x, ale odebrat r, takže pokud zná název souboru, může k němu, ale nezjistí, jaké další soubory tam jsou. Běžně se to nastavuje u různých adresářů ve /var/spool.

    Pak je tam ještě pár dalších věcí, konkrétně sticky bit, SUID a SGID bity – unix oprávnění josu čtyři číslice v osmičkové soustavě. O komentář výše jsou popsané poslední tři.

    Doporučuji si přečíst nějaké povídání o tomto, nejspíš zjistíš, že to opravdu stačí.
    Hello world ! Segmentation fault (core dumped)
    27.1.2016 22:43 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    a právo x právo soubor spustit (jako spustitelnou binárku – nevztahuje se to na skripty, tam spouštíte binárku interpretu a ta pouze čte soubor se skriptem).
    No ale to myslíš snad jen skripty, které spouštíš např. perl skript.pl, ale když máš skript script na jehož začátku mám #!/usr/bin/perl a potom pokračuje kód v perlu, tak mu musíš přiřadit x jinak ti shell oznámí, že ho nespustí. (a tomuto říkáme také skript). Tedy alespoň u mne. To co napsal mne překvapilo a tak jsem zkusil skriptům odebrat x.
    Josef Kufner avatar 28.1.2016 01:43 Josef Kufner | skóre: 66
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    To zmotal s SUID bitem. Právno na spuštění potřebuješ jak u interpretu, tak u skriptu.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 13:03 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Kecas.
    ~$ cat kecas.sh 
    #!/bin/sh
    echo Kecas
    ~$ ls -l kecas.sh 
    -rw-rw-r-- 1 user user 21 led 28 13:01 kecas.sh
    ~$ bash kecas.sh 
    Kecas
    
    Josef Kufner avatar 28.1.2016 13:22 Josef Kufner | skóre: 66
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Na to abys ten skript spustil. Tedy abys mohl udělat:
    ./kecas.sh
    To, že ručně spustíš interpret je o něčem jiném. Navíc v tomto případě spouštíš jiný interpret, než jaký je uveden ve skriptu.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 14:39 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Z pohledu oprávnění je to tak, že odebráním práva x skriptu nezabráníte jeho spuštění. Interpretaci #! na začátku skriptu dělá shell, takže si klidně můžete napsat shell, který vám ./script.pl spustí, i když nebude mít právo x. Na druhou stranu když máte nějaký binární program bez práva x, ale s právem r, taky vám nic nebrání udělat si jeho kopii a té právo x nastavit a program spustit. Takže ve výsledku je to vlastně stejné.
    Josef Kufner avatar 28.1.2016 15:47 Josef Kufner | skóre: 66
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Interpretaci #! na začátku skriptu dělá shell, [...]
    Ne. Tu interpretaci dělá jádro.
    Hello world ! Segmentation fault (core dumped)
    28.1.2016 16:38 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Aha. Obecně na unixových systémech to dělá shell, ale někde to je zjevně zadrátované i do jádra.
    28.1.2016 22:41 pako
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    No já nevím. Podíval jsem se na další UNIXový systém (Solaris) a dělá to úplně stejně jako Linux. Rodič (shell kde to pouštím) udělá fork() a pak nový proces zalidní execve("./test.csh"...). Do teď jsem byl přesvědčen, že systémová volání nejsou zpracovávána shellem. Takže si nejsem jistý ani správností ani obecností tvrzení, že to dělá shell.
    Josef Kufner avatar 28.1.2016 23:50 Josef Kufner | skóre: 66
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Kdyby to dělal shell, tak by to naprosto postrádalo pointu celé té věci. Jsem si celkem jistý, že to bude záležitostí jádra všude, co jen trochu smrdí unixem, tedy vyjma Windows, kde to je podle přípony.
    Hello world ! Segmentation fault (core dumped)
    29.1.2016 08:13 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    man bash
    COMMAND EXECUTION

    If the command name contains no slashes, the shell attempts to locate it. […]

    If the name is neither a shell function nor a builtin, and contains no slashes, bash searches each element of the PATH for a directory containing an executable file by that name. […]

    If the search is successful, or if the command name contains one or more slashes, the shell executes the named program in a separate execution environment. Argument 0 is set to the name given, and the remaining arguments to the command are set to the arguments given, if any.

    If this execution fails because the file is not in executable format, and the file is not a directory, it is assumed to be a shell script, a file containing shell commands. A subshell is spawned to execute it. This subshell reinitializes itself, so that the effect is as if a new shell had been invoked to handle the script, with the exception that the locations of commands remembered by the parent (see hash below under SHELL BUILTIN COMMANDS) are retained by the child.

    If the program is a file beginning with #!, the remainder of the first line specifies an interpreter for the program. The shell executes the specified interpreter on operating systems that do not handle this executable format themselves. The arguments to the interpreter consist of a single optional argument following the interpreter name on the first line of the program, followed by the name of the program, followed by the command arguments, if any.
    man zshmisc
    COMMAND EXECUTION If a command name contains no slashes, the shell attempts to locate it. […]

    Otherwise, the shell searches each element of $path for a directory containing an executable file by that name. If the search is unsuccessful, the shell prints an error message and returns a nonzero exit status.

    If execution fails because the file is not in executable format, and the file is not a directory, it is assumed to be a shell script. /bin/sh is spawned to execute it. If the program is a file beginning with `#!', the remainder of the first line specifies an interpreter for the program. The shell will execute the specified interpreter on operating systems that do not handle this executable format in the kernel.
    (Až k té části „pokud to nedělá kernel“ jsem poprvé nedočetl, proto jsem byl přesvědčen, že to dělá jenom shell.)
    Max avatar 28.1.2016 14:50 Max | skóre: 64 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Nesouhlasím. Chroot/jail je dobrý, že chci třeba zamaskovat obsah "/etc/passwd" a "/etc/group", s jailem to udělám, bez něj nikoli.
    A proč maskovat tyto soubory? Mno, třeba nechci,aby uživatel viděl, kdo všechno má na server přístup.
    Těch důvodů, proč dělat chroot/jail je více. A navíc, to že někdo dělá chroot / jail neznamená, že musí mít nutně bordel v oprávnění v systému. Člověk by měl mít jednak pořádek v oprávněních + třeba u hostingu je vhodné mít další vrstvu navíc a mít uživatele v jailu.
    Resp. pořešený oprávnění v rámci systému + jail + acl + třeba i selinux.
    Já prostě nevidím důvod, proč nemít více ochranných vrstev.
    Zdar Max
    Měl jsem sen ... :(
    28.1.2016 15:10 Filip Jirsák
    Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele
    Více ochranných vrstev klidně může být. Ale nikdo tu nenapsal, že se takováhle věc řeší především nastavením souborových oprávnění, a teprve pak případně můžu přidávat další vrstvy. Navíc chroot funguje jen pro vzdálený přístup, chroot pro lokální přístup by asi znamenalo dost ohackovat login a bůhví, jak by to pak fungovalo.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.