$emperf!
23.01.09, 23:02
Hi Leute
Ich will gar nicht erst anfangen mit Fragen zu nerven wie man Benutzer in Ihr Home einsperrt und sie gleichzeitig Programme die ausserhalb irgendeines chroot oder was auch immer Bereiches liegen benutzen lässt :ugly:
Hier kurz das Szenario was ich realisieren möchte
Benutzer können folgendes:
-Benutzer können sich per ssh anhand von key authentifizierung auf den Server einloggen (nicht jedoch per username und Passwort!)
-Benutzer können Dateien auf den Server kopieren und Dateien vom Server runter holen mit scp.
-Sie sollen (man höre und staune :p ) auch mit rsync (via ssh), dateien auf den server kopieren dürfen
-Ebenso können sie Verzeichnisse anlegen und Verzeichnis Inhalte auflisten.
Folgendes können Benutzer nicht:
-Daten von anderen Benutzern anschauen
-Verbindungen zu anderen Rechnern aufbauen via ssh ping etc.
-Irgendwelche Prozesse beenden oder starten
-Systemeinstellungen ändern
-Die User sollen eigentlich nichts können ausser das oben erwähnte.
Sollte jemand Dinge versuchen die er nicht darf wird das geloggt und je nach dem sogar vom System aktiv darauf reagiert (ala fail2ban, IDP etc.).
Bis vor kurzem habe ich sowas ähnliches mit http://chrootssh.sourceforge.net/ gemacht. War allerdings immer ein wenig über die Sicherheit besorgt und nicht wirklich überzeugt davon. Nun ist das Projekt wohl gestorben oder offline bei sourceforge.
Möchte mein Vorhaben diesmal etwas professioneller umsetzen. Mir ist klar, dass ich dazu eines, oder sogar einen Mix der folgenden drei verwenden muss:
grsecurity
selinux
apparmor
Kann mir jemand aufgrund meiner angaben sagen, was sich am besten für mein Vorhaben eignet?
Wenn es sonst noch hilfreiche Programme Patches oder Anleitungen gibt wäre ich auch für diese Infos dankbar.
Ich arbeite am liebsten mit Debian!
Gruss
$emperf!
PS: Habe mich mal ein wenig in die Materie eingelesen und hatte das Gefühl, dass selinux wohl am geeignetsten ist. Bin mal gespannt was andere sagen!
Ich will gar nicht erst anfangen mit Fragen zu nerven wie man Benutzer in Ihr Home einsperrt und sie gleichzeitig Programme die ausserhalb irgendeines chroot oder was auch immer Bereiches liegen benutzen lässt :ugly:
Hier kurz das Szenario was ich realisieren möchte
Benutzer können folgendes:
-Benutzer können sich per ssh anhand von key authentifizierung auf den Server einloggen (nicht jedoch per username und Passwort!)
-Benutzer können Dateien auf den Server kopieren und Dateien vom Server runter holen mit scp.
-Sie sollen (man höre und staune :p ) auch mit rsync (via ssh), dateien auf den server kopieren dürfen
-Ebenso können sie Verzeichnisse anlegen und Verzeichnis Inhalte auflisten.
Folgendes können Benutzer nicht:
-Daten von anderen Benutzern anschauen
-Verbindungen zu anderen Rechnern aufbauen via ssh ping etc.
-Irgendwelche Prozesse beenden oder starten
-Systemeinstellungen ändern
-Die User sollen eigentlich nichts können ausser das oben erwähnte.
Sollte jemand Dinge versuchen die er nicht darf wird das geloggt und je nach dem sogar vom System aktiv darauf reagiert (ala fail2ban, IDP etc.).
Bis vor kurzem habe ich sowas ähnliches mit http://chrootssh.sourceforge.net/ gemacht. War allerdings immer ein wenig über die Sicherheit besorgt und nicht wirklich überzeugt davon. Nun ist das Projekt wohl gestorben oder offline bei sourceforge.
Möchte mein Vorhaben diesmal etwas professioneller umsetzen. Mir ist klar, dass ich dazu eines, oder sogar einen Mix der folgenden drei verwenden muss:
grsecurity
selinux
apparmor
Kann mir jemand aufgrund meiner angaben sagen, was sich am besten für mein Vorhaben eignet?
Wenn es sonst noch hilfreiche Programme Patches oder Anleitungen gibt wäre ich auch für diese Infos dankbar.
Ich arbeite am liebsten mit Debian!
Gruss
$emperf!
PS: Habe mich mal ein wenig in die Materie eingelesen und hatte das Gefühl, dass selinux wohl am geeignetsten ist. Bin mal gespannt was andere sagen!