Dotaz: Omezeni shellu

Zdravím,

Řeším problém jak si MAXIMÁLNĚ zabezpečit server.

Moji zživatelé mají shell ktery zakazuje vsechno krom vyjimek

Jde o ty výjímky které skrz sebe dovolují spouštět další aplikace,čemuž chci zabránit.

Myslím například programy jako : mutt, irssi, vim, screen, centerim, atp .....

Nevíte jak tomuto zabránit ?

Děkuji

Maj /home, /tmp a /var/tmp namountovane s noexec. Nie je to uplne na co si sa pytal, ale zabezpeci ti to, ze nebudu spustat vlastny divoky soft iba ten, ktory si instaloval ty.

A co nastavit spousteni tech skriptu jen pro vlastnika souboru? Nebo pro skupinu, do ktere ti uzivatele nebudou patrit?

$ ls -l
-rwxr--r-- 1 root   users 23 2009-02-19 16:55 test.sh
$ gvim

a v gvimu:

:!./test.sh
zsh: permision denied: ./test.sh

shell returned 126

Další možnost by byla s pomocí SELinuxu. Ten shell by běžel v SELinuxové doméně, která by měla povolen přechod jen do jedné další domény. Binárky těch vybraných programů by byly vstupními body do té druhé domény. A ta druhá doména by neměla povoleno právo execute vůbec. Navíc by se tak dalo specifikovat, na které porty se můžou připojovat apod.

Typicky problem zacinajuceho wannabe administratora. Neboj sa, hore hlavu, nie si ani prvy, ani posledny.

Řeším problém jak si MAXIMÁLNĚ zabezpečit server.

Moji zživatelé mají shell ktery zakazuje vsechno krom vyjimek

Pre Teba to bude akademicke cvicenie zo zabezpecnenia servera. Zaroven to bude poucenie, ze MAXIMALNE zabezpeceny server je neexistujuci server. A mozno k tomuto maximalne zabezpecenemu - t.j. neexistujucemu - serveru nakoniec skonverguje, nakolko prides o vsetkych pouzivatelov a teda ziadny server nebude potrebny.

Myslím například programy jako : mutt, irssi, vim, screen, centerim, atp .....

Nevíte jak tomuto zabránit ?

Odporucam pouzit mozog. Programy, ktore nemaju byt spustane, nemaju byt ani instalovane. Tam, kde mozu byt potencialne nainstalovane samotnymi pouzivatelmi, je mozne zabranit ich spustaniu, sposob bol uvedeny vyssie; ale predsa pri MAXIMALNE zabezpecenom serveri nebude mozne, aby pouzivatelia nieco niekde sami instalovali, ze ano? Pouzivatelov mozno uzavriet v chroote (Linux), jaile (BSD) alebo zone (Solaris) a umoznit im tak pristup iba k vybranej casti suboroveho systemu a procesov.

Spravne zabezpecenie dobra vec. Vojna proti vlastnym pouzivatelom je vopred prehrany boj.

Jdete na to ze špatného konce. V unixu se přístupová práva neřeší omezováním funkcí jednotlivých aplikací, ale prostým nastavením přístupových práv pro příslušné soubory. Pokud tedy uživatelé nemají mít právo nějaký soubor číst, nedávejte jim právo ke čtení toho souboru. Pokud nemají mít právo spouštět nějaký program, nedávejte jim právo ke spuštění toho programu. Pokud vám nestačí běžné řpidělení práv pro uživazele, skupinu a ostatní, použijte ACL.

PS: ke zvýrazňování nebo označování se používá kurzíva, tučné písmo znamená silné zdůraznění -- a zdůraznit půlku slov v textu nedává smysl (akorát tím naštvete čtenáře).