abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Ratty, emulátor terminálu s podporou 3D grafiky
    včera 23:33 | Zajímavý software

    Byl představen emulátor terminálu Ratty (GitHub) s podporu 3D grafiky přímo v terminálu. Inspirací byl operační systém TempleOS od Terryho Davise. Ratty je napsán v jazyce Rust. Využívá knihovnu Ratatui pro tvorbu rozhraní a herní engine Bevy pro 3D vykreslování.

    Ladislav Hagara | Komentářů: 0
    Brusel řeší, jak omezit VPN aplikace
    včera 17:55 | IT novinky

    Evropské instituce i některé americké státy dál zpřísňují pravidla pro ověřování věku na internetu. Cílem je zabránit dětem v přístupu k obsahu pro dospělé. Úřady ale narážejí na zásadní problém – stále více lidí používá VPN, tedy služby umožňující skrýt identitu i skutečnou polohu na internetu. Právě VPN nyní Evropská parlamentní výzkumná služba (EPRS) označila za „mezeru v legislativě, kterou je potřeba uzavřít“ [Novinky.cz].

    Ladislav Hagara | Komentářů: 9
    Joplin 3.6
    včera 17:22 | Nová verze

    Multiplatformní open source aplikace pro psaní poznámek Joplin (Wikipedie) byla vydána v nové verzi 3.6. Nově lze mít v poznámkách embedovaný externí obsah, např. YouTube videa.

    Ladislav Hagara | Komentářů: 0
    Open Hardware Summit 2026
    včera 16:44 | Komunita

    Open Hardware Summit 2026 organizovaný OSHWA (Open Source Hardware Association) proběhne o víkendu 23. a 24. května v Berlíně na Technické univerzitě Berlín.

    Ladislav Hagara | Komentářů: 0
    CoMaps 2026.05.06
    včera 16:33 | Nová verze

    Navigace se soukromím CoMaps postavena nad OpenStreetMap byla vydána v nové verzi 2026.05.06. Přibyla možnost aktualizovat mapy v aplikaci CoMaps, aniž by bylo nutné aktualizovat i verzi aplikace. CoMaps je komunitní fork aplikace Organic Maps.

    Ladislav Hagara | Komentářů: 1
    OCCT3D (Open CASCADE Technology) Open Source 8.0
    10.5. 05:11 | Nová verze

    OCCT3D (Open CASCADE Technology) Open Source 8.0 bylo vydáno. OCCT3D (Wikipedie, GitHub) je objektově orientovaná knihovna pro 3D CAD, CAM nebo CAE. Používá se například v softwarech FreeCAD a KiCad.

    Ladislav Hagara | Komentářů: 5
    21letá zranitelnost ve FreeBSD, vzdálené spuštění kódu (RCE)
    10.5. 02:22 | Bezpečnostní upozornění

    Ve FreeBSD byla nalezena a již opravena 21letá zranitelnost CVE-2026-42511 v dhclient. Jedná se o vzdálené spuštění kódu (RCE). Útočník mající pod správou DHCP server může získat plnou kontrolu nad systémem FreeBSD pouze jeho připojením k místní síti.

    Ladislav Hagara | Komentářů: 11
    Týden v GNOME a Týden v KDE Plasma (8. a 9. května 2026)
    9.5. 17:22 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    Ubuntu Touch 24.04-1.3
    9.5. 00:11 | Nová verze

    UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.3. Současně oznámila, že nadcházející větší vydání 24.04-2.0 bude mít modernější webový prohlížeč.

    Ladislav Hagara | Komentářů: 0
    Ploopy Bean Pointing Stick
    8.5. 17:11 | Zajímavý projekt

    Ploopy po DIY trackballech či sluchátkách představuje nový externí DIY trackpoint se čtyřmi tlačítky Bean. Obsahuje snímač Texas Instruments TMAG5273, spínače Omron D2LS-21 a řadič RP2040, používá firmware QMK. Schémata jsou na GitHubu; sadu lze předobjednat za 69 kanadských dolarů (bez dopravy a DPH).

    |🇵🇸 | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (13%)
     (9%)
     (2%)
     (14%)
     (31%)
     (4%)
     (7%)
     (3%)
     (16%)
     (25%)
    Celkem 1580 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Zabezpečení dostupných programů v shellu
    Štítky: dash, Firejail, problém, zabezpečení

    Dotaz: Zabezpečení dostupných programů v shellu

    25.10.2021 08:17 alfonz
    Zabezpečení dostupných programů v shellu
    Přečteno: 881×
    Zdravím,

    chtěl bych zkusit minimalizovat riziko napadnutí programu (tzn např. spuštění vlastního programu v shellu). Používám firejail a docela se mi podařilo omezit spousty příkazů, které je možné spustit na 4 a nějaké dostupné v shellu (exec, trap etc). Nyní je v /usr/bin/ pouze 
    nice
sh
dash
file
ls
python3
    A to je docela dobré, ale zjistil jsem 2 nemilé věci, jedna je, že se mi nedaří omezit sh a python3 (jsou potřeba pro spuštění) a další větší problém je /lib/ld.so nebo ld-linux-x86-64.so.2 Všechny tyto věci, mohou znovu spustit nějaký jiný příkaz. Zjistil, jsem že to vypadá, že to nejde nijak ovlivnit? Protože pro první spuštění jsou potřebné, přemýšlel jsem, že bych to spustil a vždy pak smazal binárky?

    Řešil jste někdo jak zabezpečit aplikaci proti vniknutí (spuštění příkazů?)

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    25.10.2021 08:42 X
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Resis zbytecnosti. Tim, ze to takto orezes to sice znepristupnis, ale take to bude celkem nepouzitelne. Co asi dela "program v schellu", nic moc vzhledem k tomu co zbylo. Jako cviceni ok. Mimochodem shellovy skript je citelny soubor, tvoje "riziko napadnuti" = ls > tvuj_program.sh..
    25.10.2021 09:23 alfonz
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    popravdě mě spíše vadí, že pokud se uživateli povede předhodit a spustit cizí např. již zkompilovany program, tak např. tam může být miner nebo něco horšího a tomu bych chtěl zabránit. jinak co se týče toho přesměrovánání, tak to mi zas tak moc nevadí (vzhledem k tomu, že ten program jen pro čtení a jiného uživatele)

    Jinak ano chci to co nejvíce omezit. Např. nejčastější napadaní je právě přístupný curl/wget. Snažím se mít co nejméně knihoven/programů. Avšak nevím jak vyřešit to, že pro spuštění bych např. shell potřebuji, ale poté již ho nepotřebuji. A to nevím jak vyřešit.
    25.10.2021 10:01 X
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    pokud se uživateli povede předhodit a spustit cizí např. již zkompilovany program
    Kdo je ten uzivatel? Clovek?
    25.10.2021 12:55 luky
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Pokud nechcete, aby si uzivatel spoutel vlastni soubory, tak pouzijte prepinac noexec u vsech FS, kde ma uzivatel pravo zapisu. Toto zabrani jen primemu spusteni, nezabrani to napr. interpretaci.
    25.10.2021 15:46 alfonz
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Právě, jde o to, že někdy lidé pošlou do interpretru příkaz přímo, proto chci zakázat ld a python3/sh poté co se použije.
    Heron avatar 25.10.2021 16:48 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    popravdě mě spíše vadí, že pokud se uživateli povede předhodit a spustit cizí např. již zkompilovany program, tak např. tam může být miner nebo něco horšího a tomu bych chtěl zabránit. jinak co se týče toho přesměrovánání, tak to mi zas tak moc nevadí (vzhledem k tomu, že ten program jen pro čtení a jiného uživatele)
    OS se většinou používá ke spouštění programů. S tím nic neuděláte. Pokud se bojíte toho, že tam někdo pustí miner, lze to řešit pomocí ulimit, cgroups, systemd. Pokud se bojíte rozesílání spamu, lze v iptables (nftables), zakázat output podle uid.
    Např. nejčastější napadaní je právě přístupný curl/wget.
    Napadání čeho? Kým? Co tím sleduje?
    Heron
    Josef Kufner avatar 25.10.2021 09:51 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Správné řešení je takovým uživatelům prostě zakázat shell.

    Případně si můžeš vytvořit vlastní shell, který bude dělat těch pár operací, které potřebuješ (dělají to tak Git repozitáře zpřístupněné po SSH, např. Gitlab či gitolite).
    Hello world ! Segmentation fault (core dumped)
    25.10.2021 15:50 alfonz
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    zakázat shell > to by sice bylo ideální, ale jak takovou věc chcete udělat, když potřebujete alespoň spustit první program. Ano ssh omezuje příkazy > a tak to tak dělá, ale jak říkám potřebuji spustit python a pak to zakázat :)

    Jinak ssh takto používám, ale tuto situaci to imho nevyřeší ne? Jinak rbash, jsem zkoušel, ale tam nejde jednoduše omezit příkazy.
    Řešení 1× (Вherzet)
    25.10.2021 19:46 z_sk | skóre: 34 | blog: analyzy
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Napis si vlastny shell. Ak len potrebujes spustat jeden prikaz, tak to nie je nic tazke.
    debian.plus@protonmail.com
    25.10.2021 20:27 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    A prečo by mal? Takých shellov a iných chrootov je na trhu dosť. A sú plne konfigurovateľné. Jeden z nich je napríklad scponly, a na domovskej stránke má odkazy na sesterské projekty.
    25.10.2021 20:41 X
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Cele je to blbost. Splacal jsi shell skript a protoze jsi si vybral tento primitivni a uzivatelsky naprosto nevhodny jazyk zacnes kvuli tomu orezavat vsechno okolo. Uplne zbytecne. Chces spustit jednen prikaz? Udelej si webovou stranku a doprostred dej tlacitko s napisem 'spustit'. Bude to plnit uplne stejnou funkci bude to dost paranoidni a nebudes muset vymyslet takove kraviny..
    Řešení 1× (OldFrog {Ondra Nemecek})
    Josef Kufner avatar 25.10.2021 21:35 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Uživateli nastavíš v /etc/passwd tvůj vlastní shell. Ten shell je prostě jen program, klidně pár řádek v Pythonu nebo Bashi, který zkontroluje parametry a spustí tu jednu věc, kterou potřebuješ. Je to stejně jednoduché, jako napsat skript.

    Pokud to potřebuješ interaktivní, tak si pomocí readline nebo čehokoliv ten vstup načteš a zpracuješ, jak potřebuješ. Co neimplementuješ, to tam nebude.

    Pokud potřebuješ skriptování, můžeš použít Lua, nebo něco podobného, kde zpřístupníš jen to, co chceš. Je to zas o tom, že si napíšeš vlastní program, který to pořeší přesně podle tvých představ. V podstatě se pomalu dostáváš ke klient-server architektuře, kde SSH je jen transportní vrstva.
    Hello world ! Segmentation fault (core dumped)
    26.10.2021 08:05 alfonz
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    jo tohle nezní špatně, ale díval jsem se, že např. rssh nebo lshell již nejsou součástí debianu a jediné co zůstává je rbash. Máte nějakou ukázku, jak by takový skript měl reálně vypadat, jde o to, že jsem se díval např. na forceCommand v ssh a není to úplně přímočaré.

    Našel jsem něco jako https://metacpan.org/release/DERF/ssh-forcecommand-1.0/source/bin/ssh-forcecommand Ještě asi zkusím hledat dál.

    Díky za info.
    Josef Kufner avatar 26.10.2021 13:02 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Mělo by to vypadat stejně jako jakýkoliv jiný program pro příkazový řádek. Podívej se na ukázku jakékoliv knihovny pro parsování parametrů z příkazové řádky a máš to.

    Založ si testovacího uživatele, nastav mu svůj program jako shell a nech ten program vypsat, co dostal jako parametry. Klidně si tam přidej nějaký pár sekundový delay a koukni na spuštěné procesy (doporučuji stromový pohled v htop). Mělo by to být celkem jasné, co se tam děje.
    Hello world ! Segmentation fault (core dumped)
    Řešení 1× (Вherzet)
    26.10.2021 16:26 z_sk | skóre: 34 | blog: analyzy
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    https://www.abclinuxu.cz/blog/analyza_greenie_20_04/2021/10/the-simple-custom-shell
    debian.plus@protonmail.com
    25.10.2021 16:26 MP
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Podle mne na to neexistuje reseni a asi nebudou ani placene softy na toto (mozna tak kiosk mode).

    Pokud nechcete riskovat napadeni shellu, tak je proste do shellu nepustite. Cili ten uzivatel na tom stroji nema co delat.

    Pokud je nekam potrebujete pustit, tak jim dejte VM, do ktere se pripoji.

    V ktere 3 pismenne agenture delate, ze resite/vymyslite takovy extrem?
    26.10.2021 15:33 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Zabezpečení dostupných programů v shellu
    Řešení jsou v zásadě 3:
    1. neumožnit přístup do shellu,
    2. spouštět daný program s minimem oprávnění (tzn. např pod zvláštním uživatelem+skupinou), tady pomůže např. SELinux,
    3. nebo napsat si vlastní shell.
    1. možnost se týká např. připojení přes ssh nebo fyzický přístup ke stroji („kiosek“). Umožníte např jen přenos souborů (u toho ssh a jemu podobných), nebo třeba necháte běžet jednu aplikaci (kiosek), která neumožní spustit cokoliv dalšího.

    2. možnost je běžně používaná pro spouštění démonů. I kdyby v daném programu byla chyba, tak se nikam nedostane. V případě slušně nastaveného SELinux prostředí opravdu prakticky nikam, jinak typicky alespoň ke většině systémových souborů s oprávněním ke čtení.

    3. možnost je v podstatě opět ten kiosek – takto se řeší např. přístup ke Git repozitářům.

    Proč to potřebujete? Když nevíme další podrobnosti, je velmi těžké pomoci.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.