Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2005-03-22 19:23:38

  SilentMan - Użytkownik

SilentMan
Użytkownik
Skąd: Olsztyn
Zarejestrowany: 2004-10-14
Serwis

Shell + ograniczenia dla użytkowników

Witam,
Czy mógłby mi tu ktoś opisać w prosty i przystępny sposób w jaki sposób zablokować użytkownikowi logującemu się na ssh możliwość wychodzenia ponad jego katalog domowy, oraz w jaki sposób ograniczyć mu używane komendy tak żeby mógł sobie uruchomić tylko screen, ekg, i irssi ? Czy jest możliwość aby każdemu użytkownikowi indywidualnie nadawać prawa dostępu do wkonywania określonych komend? Tak żeby np. jeden mógł dodatkowo uruchomic sobie iptraf (to tylko przykład).
Przede wszystkim zależy mi na tym aby użytkownik nie mógł wychodzić ponad swój katalog domowy.
Szukając informacji na ten temat natknałem się na wyrażenie 'chroot', na ircu polecono mi art http://www.owad.civ.pl/index.php?howto=6 ale niestety niewiele mi on mówi pomimo że przeczytałem go kilka razy...
Z góry dziękuję za pomoc

Offline

 

#2  2005-03-22 19:38:58

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: Shell + ograniczenia dla użytkowników

Dla twoich zastosowan chroot by sie najbardziej zdal, bo np do chrootowanych komatek mozesz wrzucac rtlko to co moze uruchamiac user....
Co do limitow ustawianych na usera to luknij do
/etc/security/limits.conf

Offline

 

#3  2005-03-22 20:03:42

  SilentMan - Użytkownik

SilentMan
Użytkownik
Skąd: Olsztyn
Zarejestrowany: 2004-10-14
Serwis

Re: Shell + ograniczenia dla użytkowników

Z tego co przeczytałem w tym pliku:

#        - core - limits the core file size (KB)
#        - data - max data size (KB)
#        - fsize - maximum filesize (KB)
#        - memlock - max locked-in-memory address space (KB)
#        - nofile - max number of open files
#        - rss - max resident set size (KB)
#        - stack - max stack size (KB)
#        - cpu - max CPU time (MIN)
#        - nproc - max number of processes
#        - as - address space limit
#        - maxlogins - max number of logins for this user
#        - priority - the priority to run user process with
#        - locks - max number of file locks the user can hold

wnioskuje że nie mozna w nim ustanawiać tego typu ograniczeń o które mi chodzi.
A czy zna ktoś może artykuł dot. chroot'a ale opisany krok po kroczku jak to się robi w debianie? W linku który podałem autor zakłada już spory stan wiedzy administratora, natomiast ja dopiero początkuję :) W związku z czym nie bardzo wiem jak się za tego chroot'a zabrać, jakimi komendami się posługiwać itd.

Offline

 

#4  2005-03-22 23:17:20

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: Shell + ograniczenia dla użytkowników

http://www.tjw.org/chroot-login-HOWTO/ - u mnie działa :)

tyrzeba tylko caly katalog "/lib" skopiowac do /home/$USER/lib :)
podobnie jak i /usr/lib ... bo sie progsy o biblioteki wsciekają ... trzeba jeszcze skompilowac recznie binarke "su" bo ta standatdowa z distro ma problem z PAM ... a.. i czesc plikow z /etc tez by warto poprzenosic .. zreszta prawie wszystko jest w tym HOWTO

pozdro

Offline

 

#5  2005-03-23 14:15:26

  SilentMan - Użytkownik

SilentMan
Użytkownik
Skąd: Olsztyn
Zarejestrowany: 2004-10-14
Serwis

Re: Shell + ograniczenia dla użytkowników

Zrobiłem krok po kroczku dokładnie tak jak w opisie ale gdy się loguje na użytkownika 'peon' to odrzuca mi hasło, myslałem że może jakąś literówke zrobiłem, więc zmieniłem je na passwd, ale nadal mam:

login as: peon
Password:
Access denied
No supported authentication methods left to try!

:(

Offline

 

#6  2005-03-23 15:22:43

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: Shell + ograniczenia dla użytkowników

u mnie wygląda to mniejwiecej tak:

Kod:

ingram-router:~# cat /etc/passwd|grep ciul
ciul:x:1012:1012::/tmp:/bin/chroot-shell

ingram-router:~# cat /etc/shadow|grep ciul
ciul:$1$z60GB9yK$2Izixqwf54zfoKwpVsmu2/:12863:0:99999:7:::

ingram-router:~# cat /etc/group|grep ciul
ciul:x:1012:

ingram-router:~# cat /home/ciul/etc/passwd
ciul:x:1012:1012::/home:/bin/bash
root:x:0:0:root:/root:/bin/bash

ingram-router:~# cat /home/ciul/etc/group
root:x:0:
ciul:x:1012:

zeby sie zalogowac na niego trzeba go dodac jako zwyklego usera

Offline

 

#7  2005-03-24 15:08:50

  SilentMan - Użytkownik

SilentMan
Użytkownik
Skąd: Olsztyn
Zarejestrowany: 2004-10-14
Serwis

Re: Shell + ograniczenia dla użytkowników

Już wiem co miałem nie tak, nie miałem make'a ani żadnych kompilatorów. Teraz opis z jailem poszedł pięknie i gładko :)
Ale mam kolejny problem, wrzuciłem (chyba) wszystkie pliki screen'a wraz z bibliotekami, ale przy próbie odpalenia go spod chrootwanego użyszodnika, pokazuje mi się komunikat:

Must be connected to a terminal.

toś wie co jest nie tak?

Offline

 

#8  2005-03-24 17:50:32

  rychu - elektryk dyżurny

rychu
elektryk dyżurny
Skąd: gdańsk/kalmar
Zarejestrowany: 2004-12-28

Re: Shell + ograniczenia dla użytkowników

eee zgaduję że nie ma plików urządzeń? userzy chyba muszą mieć /dev/tty*


linux regd. user #248790

Offline

 

#9  2005-03-24 18:12:17

  SilentMan - Użytkownik

SilentMan
Użytkownik
Skąd: Olsztyn
Zarejestrowany: 2004-10-14
Serwis

Re: Shell + ograniczenia dla użytkowników

Na ścieżce /home/chroot/dev jest plik tty. Więc chyba nie w tym rzecz?

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)