rbash (restricted shell config)

Linux-security

rbash (restricted shell config)

  • 2135 megtekintés

( athom | 2004. 09. 08., sze – 15:13 )

Hali!

Szeretnék olyat csinálni, hogy a user ne tudjon kimenni a home dirjéből. Túrtam kicsit a neten és megtaláltam az rbash-t.
Be is állítottam a user shell-jét a passwd fájlban rbash-re.

Kérdés1: hogy lehet konfigurálni, hogy melyik paranccsokat engedélyezzen/tiltson?

Kérdés2: ha inditok pl. egy mc-t, akkor már ki tudok lépni a home dirből:)

Ha nem ezzel, mással meglehet oldani ezeket?
A lényeg: megtudjam határozni, hogy milyen paranccsokat tudjon futtatni a user. (ping, traceroute, ifconfig oszt' ennyi)

( sz | 2004. 09. 08., sze – 16:38 )

[quote:16cf4012f2="athom"]Szeretnék olyat csinálni, hogy a user ne tudjon kimenni a home dirjéből. Túrtam kicsit a neten és megtaláltam az rbash-t.
Be is állítottam a user shell-jét a passwd fájlban rbash-re.

Kérdés1: hogy lehet konfigurálni, hogy melyik paranccsokat engedélyezzen/tiltson?

Csinálsz vhol egy könyvtárat [pl. /rbin], belemásolod azokat és csak azokat a programokat, amiket az adott user futtathat, és csinálsz a júzernek egy olyan bash_profile-t, amiben a PATH változó értékének ezt és csak ezt a könyvtárat adod meg.

Kérdés2: ha inditok pl. egy mc-t, akkor már ki tudok lépni a home dirből:)

A rbash az nem chroot. Csak figyeli az ilyen könyvtárváltó parancsokat, illetve h mit akar a júzer futtatni, és ezeket korlátozza. Ezért figyelni kell, h mi az a minden, amit a júzer futtathat, mert ha indíthat pl. vim-et, akkor abból indíthat gyakorlatilag akármit is, a rbash az ellen nem véd©. [Esetleg a júzeren kívül mindenki mást betenni egy groupba, és beállítani, h minden más programot csak ez a group futtathasson... (; Vagy vmi ACL.]

Ha nem ezzel, mással meglehet oldani ezeket?

Ha nem indíthat olyan programokat, amikből mást lehet indítani, akkor megoldható. Ha indíthat, sztm akkor is, csak akkor soksok macera, lásd fönt. Hogy milyen egyéb módokon lehet megszökni belőle, azt nem tudom. De ez nem chroot, mint mondottam volt, tehát ha pl. a júzer ls-t futtathat, akkor pl. az ls / működik.

( ixc | 2004. 09. 08., sze – 20:36 )

[quote:06756f0d4b="sz"]
Csinálsz vhol egy könyvtárat [pl. /rbin], belemásolod azokat és csak azokat a programokat, amiket az adott user futtathat, és csinálsz a júzernek egy olyan bash_profile-t, amiben a PATH változó értékének ezt és csak ezt a könyvtárat adod meg.

Es ha user bealitja tobbi directoryt is maganak? :)
vagy ha ugy futatja egyenesen hogy /usr/bin/bikkfaty? :P

En olyasmi megoldast ajanlok mint freebsdn a jail, linuxra is van olyan (kernelhez vs) es akkor lenyegebe egy "virtualis szamitogep"-re adod accot, es ha ugy kapjak szerintem az se gond ha kimennek a homedirbol :)

//* Remelem ertheto voltam :)) *//

( sz | 2004. 09. 08., sze – 20:57 )

[quote:6369bc4719="ixc"][quote:6369bc4719="sz"]Csinálsz vhol egy könyvtárat [pl. /rbin], belemásolod azokat és csak azokat a programokat, amiket az adott user futtathat, és csinálsz a júzernek egy olyan bash_profile-t, amiben a PATH változó értékének ezt és csak ezt a könyvtárat adod meg.

Es ha user bealitja tobbi directoryt is maganak? :)
vagy ha ugy futatja egyenesen hogy /usr/bin/bikkfaty? :P

[code:1:6369bc4719]$ PATH=/bin rbash #ezt még egy rendes shellből indítom
$ echo $PATH # ez meg már itt a restricted shell
/bin
$ /usr/bin/yes
rbash: /usr/bin/yes: restricted: cannot specify `/' in command names
$ export PATH=bla
rbash: PATH: readonly variable[/code:1:6369bc4719]
Azt elfelejtettem említeni, h természetesen nem szabad, h a korlátozott júzer .bash_profile-ja írható legyen a júzer által.