Witam, jestem początkującym użytkownikiem Linuksa.
Pytanie mam następujące: jak ograniczyć swobodę poruszania się zwykłego użytkownika do jego katalogu domowego. Chodzi o to, że uruchomiłem sobie serwer ssh i podczas logowania użytkowników do systemu chciałbym aby nie mogli mi przeglądać całego dysku i również zmniejszyć im prawa do uruchamiania co poniektórych programów.
Aha, jeszcze jedna sprawa. Czy zabezpieczenia praw dostępu dla użytkowników korzystających z ssh można by również użyć dla użytkowników korzystających np. z http.
Pozdrawiam.
Prawa dost
Poruszyłeś kilka kwestii. Co do 'zwiedzania dysku', magiczne rozwiązuje sprawę. Uruchamianie niektórych programów? Na przykład jakich?
Kod: Zaznacz cały
chmod o-x /home/użytkownikRozwiń tę myśl.Czy zabezpieczenia praw dostępu dla użytkowników korzystających z ssh można by również użyć dla użytkowników korzystających np. z http.
Jest coś takiego co zamyka użytkownika w 'skrzynce', tak żeby nie mógł chodzić po systemie i aby mógł uruchamiać tylko niektóre aplikacje itp.
Zobacz na http://www.jmcresearch.com/projects/jail/a tool that builds a chroot and configures all the required files, directories and libraries
Chodziło mi właśnie o zamknięcie użytkownika w skrzynce, żeby mógł przeglądać tylko swój katalog domowy i katalogi, które sobie stworzy.
Dziękuję tadzik za programik ale ze jestem początkujący wolę pogrzebać i pokombinować na własną rękę z chmod, chown lub chgrp. Jak mi nie pójdzie to skorzystam z programu.
Co do uprawnień chodzi o to aby np. użytkownicy należący do grupy ssh mogli tylko poruszać się po swoich katalogach domowych i nigdzie po za nimi.
Zweryfikujcie czy się mylę: chodzi o to aby odjąć uprawnienia ,,-x'' dla wszystkich podkatalogów głównych, a dodać tylko dla /home/dany_użytkownik ale tylko dla użytkowników z grupy ssh.
Czy istnieje jakiś prosty sposób żeby to zrobić?
Druga kwestia np. aby zablokować używanie polecenia top dla użytkowników z grupy ,,user''. I tu mi się nasuwa od razu pytanie, które polecenia warto by zablokować użytkownikom niezaufanym, a które udostępnić.
Co do zabezpieczeń apache to już nic, trochę poczytałem i wiem że można go ustawić w ten sposób aby użytkownik w katalogu domowym mógł sobie stworzyć plik ze stronką, a już apache zadba o jego uruchomienie.
Dziękuję tadzik za programik ale ze jestem początkujący wolę pogrzebać i pokombinować na własną rękę z chmod, chown lub chgrp. Jak mi nie pójdzie to skorzystam z programu.
Co do uprawnień chodzi o to aby np. użytkownicy należący do grupy ssh mogli tylko poruszać się po swoich katalogach domowych i nigdzie po za nimi.
Zweryfikujcie czy się mylę: chodzi o to aby odjąć uprawnienia ,,-x'' dla wszystkich podkatalogów głównych, a dodać tylko dla /home/dany_użytkownik ale tylko dla użytkowników z grupy ssh.
Czy istnieje jakiś prosty sposób żeby to zrobić?
Druga kwestia np. aby zablokować używanie polecenia top dla użytkowników z grupy ,,user''. I tu mi się nasuwa od razu pytanie, które polecenia warto by zablokować użytkownikom niezaufanym, a które udostępnić.
Co do zabezpieczeń apache to już nic, trochę poczytałem i wiem że można go ustawić w ten sposób aby użytkownik w katalogu domowym mógł sobie stworzyć plik ze stronką, a już apache zadba o jego uruchomienie.
-x dla / nie powinieneś dawać - rozumiem pęd do ograniczania dostępu użytkownikom, ale nie możesz czegoś takiego zrobić ponieważ np odcięcie /usr czy /bin spowoduje, że będą oni mieli tylko te programy, które sami sobie skompilują, ale nie będą w stanie tego zrobić... Po co komu konto ssh, jeżeli żadnej powłoki nie będzie mieć. /etc tak samo uciąć nie możesz, ponieważ do konfiguracji stracą dostęp itp. Ogólnie raczej uważałbym z takim postępowaniem.
Na początek zablokuj w /home, by mogli wchodzić tylko do swoich katalogów, ale resztę blokuj w zależności od tego, co naprawdę chcesz ukryć i bierz pod uwagę co przestanie działać.
Na początek zablokuj w /home, by mogli wchodzić tylko do swoich katalogów, ale resztę blokuj w zależności od tego, co naprawdę chcesz ukryć i bierz pod uwagę co przestanie działać.
-
tgR
Przydatna sztuczkalub
i tam jeszcze kilka katalogów - niekiedy plików - tylko abyś nie przesadził.
I obowiązkowo jak komuś udostępniasz konta powłoki to wydaje mi się, że potrzebujesz ,,grsec i pax'' aby nie mogli sobie użytkownicy dociągnąć binarek i ich uruchamiać, i broni jeszcze przed kilkoma innymi złymi rzeczami.
Edycja:
I zapomniałbym o libsafe - coś tam, ponoć zabezpiecza ale już nie pamiętam co? Dawno o tym czytałem, używam i działa. A jak to mówią strzeżonego pan Bóg strzeże.
Kod: Zaznacz cały
chmod -r /Kod: Zaznacz cały
chmod -r /etc I obowiązkowo jak komuś udostępniasz konta powłoki to wydaje mi się, że potrzebujesz ,,grsec i pax'' aby nie mogli sobie użytkownicy dociągnąć binarek i ich uruchamiać, i broni jeszcze przed kilkoma innymi złymi rzeczami.
Edycja:
I zapomniałbym o libsafe - coś tam, ponoć zabezpiecza ale już nie pamiętam co? Dawno o tym czytałem, używam i działa. A jak to mówią strzeżonego pan Bóg strzeże.
Prawa
Może po prostu zrób tak:
Wtedy użytkownik nic nie zobaczy, a będzie mógł odpalić program.
chgrp ustaw im dostęp do programów
np.:
O i tyle ;-)
Kod: Zaznacz cały
chmod 751 /etc/
chmod 751 /bin/
chmod 751 /sbin/
chmod 751 /boot/
chmod 751 /usr/src/
chmod 751 /var/log/
chmod 751 /var/
chmod 751 /home/
chgrp ustaw im dostęp do programów
np.:
Kod: Zaznacz cały
chgrp grupa_ssh /bin/ping
Dodatkowo musisz odpowiednio podzielić partycje na takim serwerze i w /etc/fstab wstawić odpowiednie opcje montowania dla partycji, na której będziesz miał katalog /home itp.
nodev zapobiega rozpoznawaniu przez jądro dowolnych plików urządzeń, znajdujących się w systemie plików.
noexec zapobiega wykonywaniu plików wykonywalnych w danym systemie plików.
nosuid pobiega uwzględnianiu bitów set-UID oraz set-GID w przypadku dowolnego pliku wykonywalnego.
nodev zapobiega rozpoznawaniu przez jądro dowolnych plików urządzeń, znajdujących się w systemie plików.
noexec zapobiega wykonywaniu plików wykonywalnych w danym systemie plików.
nosuid pobiega uwzględnianiu bitów set-UID oraz set-GID w przypadku dowolnego pliku wykonywalnego.