Prawa dost

Ogólne pytania dotyczące systemu
qb
Posty: 2
Rejestracja: 10 marca 2009, 13:35

Prawa dostępu użytkowników przez ssh itp.

Post autor: qb »

Witam, jestem początkującym użytkownikiem Linuksa.

Pytanie mam następujące: jak ograniczyć swobodę poruszania się zwykłego użytkownika do jego katalogu domowego. Chodzi o to, że uruchomiłem sobie serwer ssh i podczas logowania użytkowników do systemu chciałbym aby nie mogli mi przeglądać całego dysku i również zmniejszyć im prawa do uruchamiania co poniektórych programów.
Aha, jeszcze jedna sprawa. Czy zabezpieczenia praw dostępu dla użytkowników korzystających z ssh można by również użyć dla użytkowników korzystających np. z http.

Pozdrawiam.
Awatar użytkownika
lis6502
Member
Posty: 1798
Rejestracja: 05 listopada 2008, 20:14
Lokalizacja: Miasto Szybowców

Post autor: lis6502 »

Poruszyłeś kilka kwestii. Co do 'zwiedzania dysku', magiczne

Kod: Zaznacz cały

chmod o-x /home/użytkownik
rozwiązuje sprawę. Uruchamianie niektórych programów? Na przykład jakich?
Czy zabezpieczenia praw dostępu dla użytkowników korzystających z ssh można by również użyć dla użytkowników korzystających np. z http.
Rozwiń tę myśl.
tadzik
Beginner
Posty: 183
Rejestracja: 29 grudnia 2007, 20:36
Lokalizacja: Warszawa/Izabelin

Post autor: tadzik »

Jest coś takiego co zamyka użytkownika w 'skrzynce', tak żeby nie mógł chodzić po systemie i aby mógł uruchamiać tylko niektóre aplikacje itp.
a tool that builds a chroot and configures all the required files, directories and libraries
Zobacz na http://www.jmcresearch.com/projects/jail/
qb
Posty: 2
Rejestracja: 10 marca 2009, 13:35

Post autor: qb »

Chodziło mi właśnie o zamknięcie użytkownika w skrzynce, żeby mógł przeglądać tylko swój katalog domowy i katalogi, które sobie stworzy.
Dziękuję tadzik za programik ale ze jestem początkujący wolę pogrzebać i pokombinować na własną rękę z chmod, chown lub chgrp. Jak mi nie pójdzie to skorzystam z programu.

Co do uprawnień chodzi o to aby np. użytkownicy należący do grupy ssh mogli tylko poruszać się po swoich katalogach domowych i nigdzie po za nimi.
Zweryfikujcie czy się mylę: chodzi o to aby odjąć uprawnienia ,,-x'' dla wszystkich podkatalogów głównych, a dodać tylko dla /home/dany_użytkownik ale tylko dla użytkowników z grupy ssh.

Czy istnieje jakiś prosty sposób żeby to zrobić?

Druga kwestia np. aby zablokować używanie polecenia top dla użytkowników z grupy ,,user''. I tu mi się nasuwa od razu pytanie, które polecenia warto by zablokować użytkownikom niezaufanym, a które udostępnić.

Co do zabezpieczeń apache to już nic, trochę poczytałem i wiem że można go ustawić w ten sposób aby użytkownik w katalogu domowym mógł sobie stworzyć plik ze stronką, a już apache zadba o jego uruchomienie.
Pies
Beginner
Posty: 127
Rejestracja: 22 sierpnia 2008, 21:17

Post autor: Pies »

-x dla / nie powinieneś dawać - rozumiem pęd do ograniczania dostępu użytkownikom, ale nie możesz czegoś takiego zrobić ponieważ np odcięcie /usr czy /bin spowoduje, że będą oni mieli tylko te programy, które sami sobie skompilują, ale nie będą w stanie tego zrobić... Po co komu konto ssh, jeżeli żadnej powłoki nie będzie mieć. /etc tak samo uciąć nie możesz, ponieważ do konfiguracji stracą dostęp itp. Ogólnie raczej uważałbym z takim postępowaniem.
Na początek zablokuj w /home, by mogli wchodzić tylko do swoich katalogów, ale resztę blokuj w zależności od tego, co naprawdę chcesz ukryć i bierz pod uwagę co przestanie działać.
tgR

Post autor: tgR »

Przydatna sztuczka

Kod: Zaznacz cały

 chmod -r /
lub

Kod: Zaznacz cały

chmod -r /etc 
i tam jeszcze kilka katalogów - niekiedy plików - tylko abyś nie przesadził.

I obowiązkowo jak komuś udostępniasz konta powłoki to wydaje mi się, że potrzebujesz ,,grsec i pax'' aby nie mogli sobie użytkownicy dociągnąć binarek i ich uruchamiać, i broni jeszcze przed kilkoma innymi złymi rzeczami.

Edycja:
I zapomniałbym o libsafe - coś tam, ponoć zabezpiecza ale już nie pamiętam co? Dawno o tym czytałem, używam i działa. A jak to mówią strzeżonego pan Bóg strzeże.
furianin
Posty: 14
Rejestracja: 03 kwietnia 2008, 21:20

Prawa

Post autor: furianin »

Może po prostu zrób tak:

Kod: Zaznacz cały

chmod 751 /etc/
chmod 751 /bin/
chmod 751 /sbin/
chmod 751 /boot/
chmod 751 /usr/src/
chmod 751 /var/log/
chmod 751 /var/
chmod 751 /home/
Wtedy użytkownik nic nie zobaczy, a będzie mógł odpalić program.
chgrp ustaw im dostęp do programów
np.:

Kod: Zaznacz cały

chgrp grupa_ssh /bin/ping
O i tyle ;-)
Awatar użytkownika
Yampress
Administrator
Posty: 6400
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Post autor: Yampress »

Dodatkowo musisz odpowiednio podzielić partycje na takim serwerze i w /etc/fstab wstawić odpowiednie opcje montowania dla partycji, na której będziesz miał katalog /home itp.
nodev zapobiega rozpoznawaniu przez jądro dowolnych plików urządzeń, znajdujących się w systemie plików.
noexec zapobiega wykonywaniu plików wykonywalnych w danym systemie plików.
nosuid pobiega uwzględnianiu bitów set-UID oraz set-GID w przypadku dowolnego pliku wykonywalnego.
ODPOWIEDZ