Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2013-08-29 21:31:08

  hardek - Użytkownik

hardek
Użytkownik
Zarejestrowany: 2011-03-16

lshell + ssh

Witam!

Posiadam serwer z zainstalowanym Debianem Wheezy. Na tym serwerze usiłuje stworzyć użytkowników, którzy nie bedą mieli pełnego dostępu do systemu. Zainstalowałem więc lshell, który moim zdaniem idelanie się do tego nadaje, lecz niestety do pełni szczęścia brakuje mi jednej rzeczy. Mianowicie, po odpowiednim skonfigurowaniu limit shell'a mogę lokalnie zalogować się na danego użytkownika posiadającego ustawione przez mnie ograniczenia, ale już przez SSH nie. Po zaakceptowaniu hasła sesja odrazu jest zamykana z błędem:

Kod:

/usr/bin/lshell: No such file or directory

W logu auth.log jest tylko informacja o otwarciu i zamknięciu połączenia SSH bez żadnych błędów. Podejrzewam, że jest to kwestia konfiguracji SSH lub PAM. Szukałem rozwiązania mojego problemu, lecz niestety nigdzie nie znalazłem. Pomożecie?

Ostatnio edytowany przez hardek (2013-08-29 21:32:53)

Offline

 

#2  2013-08-30 00:19:23

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: lshell + ssh

Do /etc/shells kolega lshella dopisał?

Dodatkowo kolega testował pod kątem podatności opisanych tutaj?

http://www.aldeid.com/wiki/Lshell

Ostatnio edytowany przez enether (2013-08-30 00:21:32)

Offline

 

#3  2013-08-30 01:07:56

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: lshell + ssh

Ja bym zrobił np drugą wersję basha, a potem binarkę tego drugiego basha obciął profilem apparmora, aby miał dostęp tylko do wybranych poleceń.
Mógły wtedy być np obcięty do bólu /bin/bash i mający pełne możliwości /sbin/bash - specjalnie dla roota, albo na odwrót.
Inna opcja (lepsza), to grsecurirty ACL - rola default, albo np chrooty dla pacjentów.

Albo wszystko na raz. :D

Ostatnio edytowany przez Jacekalex (2013-08-30 01:15:39)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2013-08-30 01:43:32

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: lshell + ssh

A tam chrooty, LXC im od razu per user zrobić ;)

Swoją drogą szanowny kolego Jacku, masz może pod ręką coś tyczącego się łączenia Debiana z AppArmorem?

Offline

 

#5  2013-08-30 02:26:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: lshell + ssh

W Gentusiu chodzi, z ta różnicą, ze do działania Apparmora potrzebna jest łatka Grsecurity.
Dlaczego?
Userspace, nawet w wersji 2.8.1 - zainstalowane, wymaga w jaju trybu kompatybilności z wersją AA -2.4, której to latki w jaju nie ma, i nie było.
Skąd ją biorę?

Kod:

grep -i apparmor  /usr/src/patch3109/grsecurity-2.9.1-3.10.9-201308202015.patch | grep 24
+config SECURITY_APPARMOR_COMPAT_24
+#ifdef CONFIG_SECURITY_APPARMOR_COMPAT_24
+#endif /* CONFIG_SECURITY_APPARMOR_COMPAT_24 */
+#ifdef CONFIG_SECURITY_APPARMOR_COMPAT_24

Otóż łatka grsec jest jedynym obecnie znanym mi miejscem, gdzie można znaleźć zaginioną łatkę apparmor_compat_24 na jajo np 3.10.9, co mnie mocno zdziwiło, ale nie zmartwiło bynajmniej. :D

Reszta?
https://wiki.debian.org/AppArmor
https://wiki.debian.org/AppArmor/HowTo
https://wiki.debian.org/AppArmor/Contribute
http://wiki.apparmor.net/index.php/Distro_debian

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-08-30 02:27:47)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)