User bezárása a /home/user/ könyvtárba

[quote:31dda2b513="Panther"]Felhúzol 1 könyvtárban egy olyan alap rendszert, ami szükséges a működéshez, majd mount --bind-del rárakod a user megfelelő könyvtárára. Így minden program csak 1x van meg a lemezen, akárhány userről van is szó
jobb nem jut eszembe (biztos van vmi hatékonyabb megoldás erre).

pl. hardlinkekkel is meg lehet oldani. Szerintem az jobb dolog, bár előnyét nem látom :D

Selinuxal vagy rsbac-cal megoldható. Nem kell chroot.

Persze linuxon. Megoldható még trusted bsd-ben, vagy trusted solaris alatt is.

[quote:c933872bd6="lacipac"][quote:c933872bd6="Panther"]Felhúzol 1 könyvtárban egy olyan alap rendszert, ami szükséges a működéshez, majd mount --bind-del rárakod a user megfelelő könyvtárára. Így minden program csak 1x van meg a lemezen, akárhány userről van is szó
jobb nem jut eszembe (biztos van vmi hatékonyabb megoldás erre).

pl. hardlinkekkel is meg lehet oldani. Szerintem az jobb dolog, bár előnyét nem látom :D

ha valaki felnyomja a chrootot, és felülír egy-két fájlt, akkor ugyanott vagy, mintha nem használtad volna a chroot lehetőségét.

[quote:9013fd203a="Panther"]ha valaki felnyomja a chrootot, és felülír egy-két fájlt, akkor ugyanott vagy, mintha nem használtad volna a chroot lehetőségét.

a könyvtárak/fileok másolását ugyanúgy gondoltam, csak utána nem mount --bind -dal mountolsz, hanem belinkeled a fileokat. Bár ha jobban belegondolok lehet hogy jobb a mountos verzió... :roll:

[quote:793510a50b="lacipac"][quote:793510a50b="Panther"]ha valaki felnyomja a chrootot, és felülír egy-két fájlt, akkor ugyanott vagy, mintha nem használtad volna a chroot lehetőségét.

a könyvtárak/fileok másolását ugyanúgy gondoltam, csak utána nem mount --bind -dal mountolsz, hanem belinkeled a fileokat. Bár ha jobban belegondolok lehet hogy jobb a mountos verzió... :roll:

chroot on kivűlre nem tudsz szimlinket létrehoni

Hogyan lehet kernelt cserélni az UML-be?

[quote:2441cef1f4="lacipac"][quote:2441cef1f4="Panther"]ha valaki felnyomja a chrootot, és felülír egy-két fájlt, akkor ugyanott vagy, mintha nem használtad volna a chroot lehetőségét.

a könyvtárak/fileok másolását ugyanúgy gondoltam, csak utána nem mount --bind -dal mountolsz, hanem belinkeled a fileokat. Bár ha jobban belegondolok lehet hogy jobb a mountos verzió... :roll:

Mert, a mount --bind -os verziora nem all, hogy felnyomjak az egyik chroot-ot, oszt meghal minden?
Ezt csak a komplett masolassal tudod kivedeni - vagy valami normalis kernelszintu jogosultsagellenorzovel.

[quote:60b64fc2e2="ghost"][quote:60b64fc2e2="lacipac"][quote:60b64fc2e2="Panther"]ha valaki felnyomja a chrootot, és felülír egy-két fájlt, akkor ugyanott vagy, mintha nem használtad volna a chroot lehetőségét.

a könyvtárak/fileok másolását ugyanúgy gondoltam, csak utána nem mount --bind -dal mountolsz, hanem belinkeled a fileokat. Bár ha jobban belegondolok lehet hogy jobb a mountos verzió... :roll:

chroot on kivűlre nem tudsz szimlinket létrehoni

de hardlinket igen... man ln

közben eszembe jutot a megoldás

acl ek bevezetése

azokkal gond nélkül meg tudod oldani a problémádat

Nemvagyok egy észlény, de a Jailezés nem pont erre való?

[quote:94ace9ab7f="mrbay"]Nemvagyok egy észlény, de a Jailezés nem pont erre való?

a jail azt jelenti, hogy a program egy chrootot hajt végre, vagy már eleve chrootolt környezetben indítod.

[quote:ac491b2602="Panther"][quote:ac491b2602="mrbay"]Nemvagyok egy észlény, de a Jailezés nem pont erre való?

a jail azt jelenti, hogy a program egy chrootot hajt végre, vagy már eleve chrootolt környezetben indítod.

A jail ennel kicsit tobb (lehet sajat IP-je, hostneve es ezeket a TCP kapcsolatokat kulon lehet tuzfalazni is, tobb process is tartozhat egy jailbe stb stb, mig a chroot altalaban 1 processre vonatkozik). Amire te gondolsz azaz egyszeru chroot(2) a jail(2) (BSD-n) joval tobbet jelent mint egy chroot. Mi ugy oldottuk meg, hogy egy fullos BSD jail (tehat olyan mintha egy gep lenne) van ahova belep a user, aztan azon belul nezelodjon, persze egymas dolgait nem latjak.

[quote:d71e78161d="m4ki"]Hy!

Én úgy csináltam hogy debootstrap -al csináltma egy alaprendszert.
Akkor a kernel megpecseltem a gpsec-el és beálítottam egy két dolgot.
De még mindíg zavar hogy ott is kitud menni a könyvtrából az ember, próbálkoztam a chroottal úgy hogy mindent bemásolgattam az user könyvtárába amire szerintem szüksége lehet, de nem volt elég a függőségeket berakni.... ekkor jött a debootstrap

Kerestem ugyan googlén alternatívákat de mivel angolul nem tudok németeknél sincs full leírás vagy valami ugródeszka ezért gondoltam ogy esetleg ti tudtok mondani olyasvalamit amiből ki lehetne indulni és lenne hozzá leírás..

Köszönöm a hozzászólásaitokat.

UML, aztán jól van... onnan kimehet... :)

[quote:0fb74d65af="mrbay"]Nemvagyok egy észlény, de a Jailezés nem pont erre való?

Amúgy van már LInuxra is bsd_jail patch, tessék utánanézni, itt a HUP -on is volt róla hír.

http://www.hup.hu/wiki/wiki.phtml?title=UML_haszn%C3%A1lata

Ez egy elég jó leírás, de azért van pár dolog, amit nem értek...

Debian 2.6.9-cel próbálkoztam. Letöltöttem a kész filerendszert Debian-3.0r0.ext2, sikerült is elindítanom, de hálózatot nem tudtam csinálni. Először nem volt semmi modul, majd amikor bemountoltam neki a modulokat, de ethernet modul nem volt. Próbáltam ifconfiggal az eth0-t beállítani, de ettől minedíg kiakadt.
Felmountoltam a filerendszert, hogy így másoljak rá, akkor meg állandóan betelt:)

A rootstrappal tudok saját filerendszer csinálni?
Lehet hogy azt kellene megpróbálni, hátha nagyobb sikerrel járok.

Linuxra ott az UML, az tobbet tud mint 1 bsd-s jail.

HyGy

[quote:bc66875606="jaci"]http://www.hup.hu/wiki/wiki.phtml?title=UML_haszn%C3%A1lata

Ez egy elég jó leírás, de azért van pár dolog, amit nem értek...

Debian 2.6.9-cel próbálkoztam. Letöltöttem a kész filerendszert Debian-3.0r0.ext2, sikerült is elindítanom, de hálózatot nem tudtam csinálni. Először nem volt semmi modul, majd amikor bemountoltam neki a modulokat, de ethernet modul nem volt. Próbáltam ifconfiggal az eth0-t beállítani, de ettől minedíg kiakadt.
Felmountoltam a filerendszert, hogy így másoljak rá, akkor meg állandóan betelt:)

A rootstrappal tudok saját filerendszer csinálni?
Lehet hogy azt kellene megpróbálni, hátha nagyobb sikerrel járok.

Ajanlom ezeket a figyelmedbe:
http://edeca.net/articles/bridging/
http://user-mode-linux.sourceforge.net/UserModeLinux-HOWTO-6.html

Hja most nezem ez is kell neked:
http://user-mode-linux.sourceforge.net/resize.html

[quote:bcd61d9be8="hygy"]Linuxra ott az UML, az tobbet tud mint 1 bsd-s jail.

HyGy

meg szabad kerdezni hogy pontosan miben tud tobbet?

[quote:2922190a55="m4ki"]Hy!

Olyan jellegü kérdésem lenne, hogy azt szeretném h egy felhasználó ne tudjon kimenni a /home/ könyvtárából nézelődni a gyökérkönyvtárban.
Nah most én valami egyszerű megoldásra gondolnék nem chroot.
Azt ugyan elértem hogy bizonyos könyvtárakba nem tudjon benézni, de nem zárhatom minenhonnan ki mert ugye akkor pogramokat se fog tudni futtani.
Hasonló megoldásra gondoltam mint pl ftp-nél hogy csak az ftp könyvtárat látja az user.
Létezik ilyen 'egyszerü megoldás'?
És ha igen mi lenne az?

Köszönöm...

Szerintem ez a legfontosabb:
--------------------------------
#!/bin/sh
cd /home
for i in $( ls ); do
chmod -R 750 $i
done
--------------------------------
Általában ez az, ami alapszinten elvárható,
és a leggyakoribb próbálkozásokat megszűri.

A többire cuccra (jail, UMR, kernel pach, ...)
Csak komoly szerverek, veszélyes felhasználók esetén van szükség.

Az /etc-ben, ami titkos szintén #chmod o-r fontos
A /root-ban nekem nics semmi titkos
Az /usr, a /tmp, meg a /var az összes al partícióival együtt
a szakirodalom által javasolt jogokkal mountolva.

Igazam van?

[quote:2d750a5b4a="hygy"][quote:2d750a5b4a="jaci"]http://www.hup.hu/wiki/wiki.phtml?title=UML_haszn%C3%A1lata

Ez egy elég jó leírás, de azért van pár dolog, amit nem értek...

Debian 2.6.9-cel próbálkoztam. Letöltöttem a kész filerendszert Debian-3.0r0.ext2, sikerült is elindítanom, de hálózatot nem tudtam csinálni. Először nem volt semmi modul, majd amikor bemountoltam neki a modulokat, de ethernet modul nem volt. Próbáltam ifconfiggal az eth0-t beállítani, de ettől minedíg kiakadt.
Felmountoltam a filerendszert, hogy így másoljak rá, akkor meg állandóan betelt:)

A rootstrappal tudok saját filerendszer csinálni?
Lehet hogy azt kellene megpróbálni, hátha nagyobb sikerrel járok.

Ajanlom ezeket a figyelmedbe:
http://edeca.net/articles/bridging/
http://user-mode-linux.sourceforge.net/UserModeLinux-HOWTO-6.html

Kössz, így már müxik:)

[quote:dc0ede19ef="m4ki"]Hy!

Olyan jellegü kérdésem lenne, hogy azt szeretném h egy felhasználó ne tudjon kimenni a /home/ könyvtárából nézelődni a gyökérkönyvtárban.
Nah most én valami egyszerű megoldásra gondolnék nem chroot.
Azt ugyan elértem hogy bizonyos könyvtárakba nem tudjon benézni, de nem zárhatom minenhonnan ki mert ugye akkor pogramokat se fog tudni futtani.
Hasonló megoldásra gondoltam mint pl ftp-nél hogy csak az ftp könyvtárat látja az user.
Létezik ilyen 'egyszerü megoldás'?
És ha igen mi lenne az?

Köszönöm...

Van erre egy egész jó topic itt.. ha jól emlékszem, nem lehet...

Asszem volt már ez téma, keress rá!

[quote:1fb655d36b="m4ki"]Hy!

Olyan jellegü kérdésem lenne, hogy azt szeretném h egy felhasználó ne tudjon kimenni a /home/ könyvtárából nézelődni a gyökérkönyvtárban.
Nah most én valami egyszerű megoldásra gondolnék nem chroot.
Azt ugyan elértem hogy bizonyos könyvtárakba nem tudjon benézni, de nem zárhatom minenhonnan ki mert ugye akkor pogramokat se fog tudni futtani.
Hasonló megoldásra gondoltam mint pl ftp-nél hogy csak az ftp könyvtárat látja az user.
Létezik ilyen 'egyszerü megoldás'?
És ha igen mi lenne az?

Köszönöm...

a shellt állíts be /bin/false ra akkor a user tuti nem fog kimenni a homjából :lol:

[quote:bf143186c9="ghost"][quote:bf143186c9="m4ki"]Hy!

Olyan jellegü kérdésem lenne, hogy azt szeretném h egy felhasználó ne tudjon kimenni a /home/ könyvtárából nézelődni a gyökérkönyvtárban.
Nah most én valami egyszerű megoldásra gondolnék nem chroot.
Azt ugyan elértem hogy bizonyos könyvtárakba nem tudjon benézni, de nem zárhatom minenhonnan ki mert ugye akkor pogramokat se fog tudni futtani.
Hasonló megoldásra gondoltam mint pl ftp-nél hogy csak az ftp könyvtárat látja az user.
Létezik ilyen 'egyszerü megoldás'?
És ha igen mi lenne az?

Köszönöm...

a shellt állíts be /bin/false ra akkor a user tuti nem fog kimenni a homjából :lol:

ja :D bele se megy :) :) :)
udv
-krix-

[quote:c983176d1a="m4ki"]Hy!

Olyan jellegü kérdésem lenne, hogy azt szeretném h egy felhasználó ne tudjon kimenni a /home/ könyvtárából nézelődni a gyökérkönyvtárban.
Nah most én valami egyszerű megoldásra gondolnék nem chroot.
Azt ugyan elértem hogy bizonyos könyvtárakba nem tudjon benézni, de nem zárhatom minenhonnan ki mert ugye akkor pogramokat se fog tudni futtani.
Hasonló megoldásra gondoltam mint pl ftp-nél hogy csak az ftp könyvtárat látja az user.
Létezik ilyen 'egyszerü megoldás'?
És ha igen mi lenne az?

Köszönöm...

peidg a chroot lenne az egyszerű.
Felhúzol 1 könyvtárban egy olyan alap rendszert, ami szükséges a működéshez, majd mount --bind-del rárakod a user megfelelő könyvtárára. Így minden program csak 1x van meg a lemezen, akárhány userről van is szó
jobb nem jut eszembe (biztos van vmi hatékonyabb megoldás erre).