PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Prozesse bei User Login Shell



Jigsore
10.05.05, 12:29
Ich frage mich wie es möglich ist, das ein User der einen Shellzugang hat, nur seine eigenen Prozesse sehen kann wie es z.B. bei diversen Shellanbietern der Fall ist.

Ich weiß das es mittels eines sshjail/chroot funktioniert oder evtl. auch mit Hilfe eines Rootkits.

Nur muß es doch auch noch andere Möglichkeiten geben, oder?

ViennaAustria
10.05.05, 16:52
Hallo!


Nur muß es doch auch noch andere Möglichkeiten geben, oder?
Naja, sicher gibt es andere Möglichkeiten, denn Du sprichst von Linux und damit Open Source. Wenn hier etwas nicht geht, dann wohl nirgendwo... :)

Aber grundsätzlich kann jeder, der z.B. `ps´ oder `top´ aufrufen kann, alle laufenden Prozesse sehen. Beeinflussen kann er die nicht, aber angucken. Und sollte irgendwo ein Passwort in einer Kommandozeile stehen, so sieht er das natürlich auch.

Also wo kann man noch "drehen"?

Du kannst `ps´ & Co z.b. vom Suchpfad der normalsterblichen User nehmen und durch abgespeckte Versionen ersetzen, die nur eigene Prozesse anzeigen. Die "vollwertigen" Binaries liegen dan in [/usr[/local]]/sbin. Auch könntest Du die Zugriffsrechte der Programme ändern, damit normalsterbliche User, die nicht "root" sind oder zur Gruppe der ps-erlaubten Benutzer (z.B. "trusedusers") gehören, das Kommando gar nicht erst starten dürfen.

groupadd trustedusers
chgrp trustedusers /bin/bs
chmod o= /bin/ps
Du musst dann aber höllisch aufpassen, dass diese Kommandos möglicherweise von "Systembenutzern" gestartet werden können müssen (z.B. mail, uucp, news, www[run], postgres, ...)! D.h., die müssen auch in der Gruppe "trustedusers" drin sein, sonst schmiert irgendwas ab!

Ausserdem hilft das bei einem halbwegs gewieften User recht wenig, weil der kann sich mit scp, ftp, lynx, wget, copy&paste+uudecode, ssh+cat, u.v.a.m. ein eigenes `ps´ Binary z.B. nach ~/bin/ stellen (oder dort compilieren) und damit sind alle Deine schönen Zugriffsrechte für die Katz'! ;)

Oder er guckt einfach mittels ls&cat in /proc/... hinein und sucht sich die Informationen per Hand, die Du zu verbergen versuchst.

Du musst also dafür sorgen, dass der Zugriff auf die Prozessliste bereits vom Kernel her unmöglich gemacht wird. Ich denke also, die vorgegebenen Wege (die Du schon teilweise aufgezählt hast) sollten auch begangen werden, um Mühen und Verirrungen zu ersparen.

:)
Thomas

Svenny
10.05.05, 17:09
GRSecurity hat sowas.

Jigsore
10.05.05, 20:50
Danke euch beiden.

Es geht mir nicht direkt darum etwas zu verstecken, sondern darum das Shelluser einfach nur der Übersicht halber ihre Prozesse sehen und sonst nichts.
Die Sicherheit betreffend ist es natürlich ein Vorteil, wenn auch nur ein feiner Nebeneffekt.

grsecurity sieht sehr interessant aus. Da ich gerade dabei bin zwei Server neu aufzusetzen werde ich damit mal rumprobieren.

Hab einiges dazu im Netz gefunden, aber wäre nett wenn jemand Erfahrungen posten könnte.
Vor allem als File/Backup/Web und Gameserver.