Forum Debian Users Gang

desavil · 2012-05-28 19:33:47

Witacie!

Postanowiłem zmienić działanie mojego systemu.
Mianowicie - obecnie aplikacje uruchamiam na swoim serwerze za pomocą serwera nanoweb, ponieważ zarówno na apache2 jak i lighttpd przy dużej ilości procesów się zawieszało i wszystko wyłączało. Takie rozwiązanie działa już u mnie bardzo długo. Dzięki niemu za pomocą PHP pobieram sobie określone dane oraz wykonuję/uruchamiam dane programy.

Przyszedł czas na zmianę, zastosowanie bardziej odpowiedniego dla tego celu rozwiązania.

Na serwerach "dzieciach" tworzyłbym użytkownika, który ma zablokowane wszystkie komendy (w celu bezpieczeństwa) oraz ma możliwość wykonywania określonych, np. może uruchamiać dane programy, tworzyć katalogi itp. (to sobie już samemu ustalam). Problem w tym, w jaki sposób mogę takie coś zrobić - takie blokowanie. Dodatkowo, chciałbym ustawić aby na tego konkretnego użytkownika można było się logować przez ssh tylko z określonych adresów IP.

Na serwerze "matce" łączę się z serwerami "dziećmi" za pomocą libssh2 (w PHP) i wykonuję sobie odpowiednie mi komendy (obecnie robię to za pomocą CURL i rozwiązania z nanoweb) i w starym przypadku niema problemu z ograniczeniem dostępu, gdyż na warunkach jest określone co użytkownik może konkretnie wykonywać, w przypadku bezpośredniego połączenia z SSH może praktycznie wszystko, co jest nie bezpieczne, np. będzie jakiś błąd w skrypcie lub na serwerze matce i ktoś, np. z tego konta coś "nabroi".

Pozdrawiam.

Ostatnio edytowany przez desavil (2012-05-28 19:42:09)

torrentow · 2012-05-28 21:08:37

Witam,
Na tym filmiku masz wyjaśnione co i jak masz zrobić na przykładzie http://www.youtube.com/watch?v=6piQXXHTmqk
Pozdrawiam,
Towarzysz Torrentow

desavil · 2012-05-28 21:37:26

Dzięki :)

Tylko tutaj są pokazane uprawnienia do katalogów/plików.
A mnie chodzi o komendy.

Jacekalex · 2012-05-28 22:09:47

....ponieważ zarówno na apache2 jak i lighttpd przy dużej ilości procesów się zawieszało i wszystko wyłączało

Coś dziwny ten serwer.

Grsecurity ACL na 100% - raczej hard rozwązanie, co do rozwiązań soft, to nie bardzo czaje, jak ci użyszkodnich uruchamiają te polecenia.
Jeśli przez shell, to albo chrooty, albo jakaś restrykcyjna powloka, w której można łatwo konfigurować uprawnienia, w FAQ masz przepis na powłokę ibsh.

Chrooty mozesz postawić kilkoma sposobami, nieźle się sprawdza (u mnie) jaiklkit.

Jeśli natomiast te polecenia idą przez jakiś interfejs webowy, to kombinuj ze skryptem, który obsluguje ten interfejs.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-05-28 22:12:04)

desavil · 2012-05-28 22:57:01

Obecnie chodzi mi po prostu ustawienie takie, że dodam sobie użytkownika do systemu, zablokuję mu wszystkie komendy/programy i odblokuję wybrane.
Czyli, np. dodałem użytkownika łączę się przez ssh i z linii poleceń mogę wydawać tylko mkdir nic więcej.

torrentow · 2012-05-29 13:42:05

Witam,
desavil, to też można zastosować do plików jak i binarek czyli poleceń.
TIP. whereis i jazda
Pozdrawiam,
Towarzysz Torrentow

Forum Debian Users Gang

Ogłoszenie

#1 2012-05-28 19:33:47

desavil - Użytkownik

Blokowanie określonych poleceń userowi.

#2 2012-05-28 21:08:37

torrentow - Członek Sejmowej Komisji Śledczej

Re: Blokowanie określonych poleceń userowi.

#3 2012-05-28 21:37:26

desavil - Użytkownik

Re: Blokowanie określonych poleceń userowi.

#4 2012-05-28 22:09:47

Jacekalex - Podobno człowiek...;)

Re: Blokowanie określonych poleceń userowi.

#5 2012-05-28 22:57:01

desavil - Użytkownik

Re: Blokowanie określonych poleceń userowi.

#6 2012-05-29 13:42:05

torrentow - Członek Sejmowej Komisji Śledczej

Re: Blokowanie określonych poleceń userowi.

Stopka forum