Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-08-29 21:31:08
hardek - 
Użytkownik
- hardek
- Użytkownik
- Zarejestrowany: 2011-03-16
lshell + ssh
Witam!
Posiadam serwer z zainstalowanym Debianem Wheezy. Na tym serwerze usiłuje stworzyć użytkowników, którzy nie bedą mieli pełnego dostępu do systemu. Zainstalowałem więc lshell, który moim zdaniem idelanie się do tego nadaje, lecz niestety do pełni szczęścia brakuje mi jednej rzeczy. Mianowicie, po odpowiednim skonfigurowaniu limit shell'a mogę lokalnie zalogować się na danego użytkownika posiadającego ustawione przez mnie ograniczenia, ale już przez SSH nie. Po zaakceptowaniu hasła sesja odrazu jest zamykana z błędem:
Kod:
/usr/bin/lshell: No such file or directory
W logu auth.log jest tylko informacja o otwarciu i zamknięciu połączenia SSH bez żadnych błędów. Podejrzewam, że jest to kwestia konfiguracji SSH lub PAM. Szukałem rozwiązania mojego problemu, lecz niestety nigdzie nie znalazłem. Pomożecie?
Ostatnio edytowany przez hardek (2013-08-29 21:32:53)
Offline
#2 2013-08-30 00:19:23
enether - wiecznie niewyspany
- enether
- wiecznie niewyspany
- Zarejestrowany: 2012-05-01
Re: lshell + ssh
Do /etc/shells kolega lshella dopisał?
Dodatkowo kolega testował pod kątem podatności opisanych tutaj?
http://www.aldeid.com/wiki/Lshell
Ostatnio edytowany przez enether (2013-08-30 00:21:32)
Offline
#3 2013-08-30 01:07:56
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: lshell + ssh
Ja bym zrobił np drugą wersję basha, a potem binarkę tego drugiego basha obciął profilem apparmora, aby miał dostęp tylko do wybranych poleceń.
Mógły wtedy być np obcięty do bólu /bin/bash i mający pełne możliwości /sbin/bash - specjalnie dla roota, albo na odwrót.
Inna opcja (lepsza), to grsecurirty ACL - rola default, albo np chrooty dla pacjentów.
Albo wszystko na raz. :D
Ostatnio edytowany przez Jacekalex (2013-08-30 01:15:39)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#4 2013-08-30 01:43:32
enether - wiecznie niewyspany
- enether
- wiecznie niewyspany
- Zarejestrowany: 2012-05-01
Re: lshell + ssh
A tam chrooty, LXC im od razu per user zrobić ;)
Swoją drogą szanowny kolego Jacku, masz może pod ręką coś tyczącego się łączenia Debiana z AppArmorem?
Offline
#5 2013-08-30 02:26:35
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: lshell + ssh
W Gentusiu chodzi, z ta różnicą, ze do działania Apparmora potrzebna jest łatka Grsecurity.
Dlaczego?
Userspace, nawet w wersji 2.8.1 - zainstalowane, wymaga w jaju trybu kompatybilności z wersją AA -2.4, której to latki w jaju nie ma, i nie było.
Skąd ją biorę?
Kod:
grep -i apparmor /usr/src/patch3109/grsecurity-2.9.1-3.10.9-201308202015.patch | grep 24 +config SECURITY_APPARMOR_COMPAT_24 +#ifdef CONFIG_SECURITY_APPARMOR_COMPAT_24 +#endif /* CONFIG_SECURITY_APPARMOR_COMPAT_24 */ +#ifdef CONFIG_SECURITY_APPARMOR_COMPAT_24
Otóż łatka grsec jest jedynym obecnie znanym mi miejscem, gdzie można znaleźć zaginioną łatkę apparmor_compat_24 na jajo np 3.10.9, co mnie mocno zdziwiło, ale nie zmartwiło bynajmniej. :D
Reszta?
https://wiki.debian.org/AppArmor
https://wiki.debian.org/AppArmor/HowTo
https://wiki.debian.org/AppArmor/Contribute
http://wiki.apparmor.net/index.php/Distro_debian
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-08-30 02:27:47)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline