Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-07-12 22:52:54

  dadexix - Użytkownik

dadexix
Użytkownik
Zarejestrowany: 2008-05-05

Powłoka ssh oraz pytanie o telnet

Witam, mam dwa potyania
Czy jest możlwość udostępnienia shell'a userowi ale tak by nie mógł dotykać określonego katalogu w katalogu domowym?
/home/user ma katalogi
a, b, c,
Dla usera o nazwie "user" ma nie istnieć katalog "c".
Pytanie na en temat również takie, jakiej powłoki wybrać by było najbezpieczniej dla systemu? najlepiej by dla usera ~ = /, jego katalog domowy to jedyny(jak w ftp)
Zbytnio na tym się nie znam, nigdy takich potrzeb nie miałem...



Pytanie dwa, na serverze dedykowanym ni z tego ni z owego siadł mi ssh, kazde poloczenie do ssh - "polaczenie odrzucone"... trzeba było usługę zrestartować, jednyne wyjście to reset "ręczny"(odcięcie zasilania) servera ponieważ nie mogłem się w żaden sposób do niego dostać(na szczęście u mnie takie rzeczy działają automatycznie)

I tu pytanie - czy jeśli bym zainstalował telnet to czy w takich sytuacjach on by mi pomógł(a nie zaszkodził - uszczerbiając bezpieczeństwo?) Czy to dobre rozwiązanie? oczywiście telnetu używać tylko gdy ssh mi padnie i tylko by postawić...?

Pozdrawiam

Offline

 

#2  2008-07-13 02:26:46

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Powłoka ssh oraz pytanie o telnet

nowsze wersje sshd maja (podobno) opcje jail'owania wskazanych uzytkownikow ktorym udostepniamy sftp (rozumiem ze o to chodzi bo jezeli ma byc to dostep przez powloke to aby mial on sens powinien byc jakis dostep do uruchamianych pogramow)

co do dedyka to dowiedz sie czy nie ofweruja oni dostepu z jakiejs swojej maszyny do portu szeregowego twojego dedyka - wtedy wystawiasz sobie getty na port szeregowy ... co do telnetu to jezeli nie bedzie uzywany (i nie bedzie w nim dziury) to jakos bardzo nie naraza systemu (tytlko dodatkowa usluga sluchajaca na jakims porcie)

edit:
przyszlo mi jeszcze ze tego ograniczonego ssh chesz uzywac do puszczania jakiejs uslugi (np. svn) - wtedy mozesz zrobic autoryzacje kluczami (uzytkownik bez mozliwosci logowania sie haslem) i w pliku authorized_keys ograniczyc zarejestrowany klucz tylko do jednej komendy ... BTW napisz dokladniej czemu ma sluzyc ten ograniczony dostep - bedzie latwiej doradzic ...

Ostatnio edytowany przez bercik (2008-07-13 02:30:14)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#3  2008-07-13 05:22:02

  dadexix - Użytkownik

dadexix
Użytkownik
Zarejestrowany: 2008-05-05

Re: Powłoka ssh oraz pytanie o telnet

dzięki wielkie, lecz telnet i brak dziur to dla mnie czarna magia, nie uzywalem telnetu i nie wiem jakie w ogole dziury byc mogą ale poszukam google nie boli:)

A co do ssh... no to tak, zależy mi na corn, apsy zamkają się po rozłączeniu, ograniczenie takich rzeczy appsów jak menadżer bibliotek pear czy precl itd. itp...:], tylko ważne dla mnie to by gdy ktoś daje ls - danego katalogu ma nie być, gdy daje cd katalog - dostaje "nie ma takiego katalogu":) niby łatwiej zmienić uprawnienia ale właścicel musi byc ten sam:)

Offline

 

#4  2008-07-13 11:54:36

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Powłoka ssh oraz pytanie o telnet

dosc ciezka sprawa bo (o ile dobrze rozumiem*) chesz udostepniac aplikacje, ale tak zeby ich nie bylo widac ... jedyne co mi przychodzi to zrobic prawdziwego jaila (lub jakiegos "na sterydach" - Linux-VServer / OpenVZ) i udostepnic userom tylko niezbedne do ich dzialania pliki ...

* chyba ze sie myle i chodzi o zablokowanie pewnych podkatalogow w /home

PS osobiscie nie widze wiekszego sensu w zabranianiu userom przegladnia rzeczy tkich jak /usr /bin czy /etc (tu jest kilka rzeczy ktorych ogladac nie powinni, ale to zalatwiaja prawa dostepu) ... no chyba ze bardzo, ale to bardzo nie ufasz swoim userom (ale wtedy nie dawalbym im shella)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)