Archiv verlassen und diese Seite im Standarddesign anzeigen : user darf nur programme aus /bin verwenden...
derRichard
06.09.02, 18:40
hallo!
wie kann ich es machen ,dass ein user nur die programme aus /bin bzw. /usr/bin ausführen kann?
also, er darf nicht ./programmname machen.
mfg
richard
Genügt es da nicht, die Rechte der entsprechende Dateien einfach zu ändern?
derRichard
06.09.02, 18:43
nein, dann kann der user ja seine eigene programme auf den server laden und dort ausführen...
mfg
richard
Hi,
das lässt sich vermutlich nur durch eine gepatchte Shell bewerkstelligen, die die Kommandos zuerst überprüft und dann erst ausführt.
Ciao, Bernie
stimmt. das habe ich nicht bedacht:ugly: Naja, dann mal viel Erfolg dabei
Sym
derRichard
06.09.02, 18:51
Original geschrieben von bernie_x
Hi,
das lässt sich vermutlich nur durch eine gepatchte Shell bewerkstelligen, die die Kommandos zuerst überprüft und dann erst ausführt.
Ciao, Bernie
hallo!
hmm, muss ich da jetzt am sourcecode von sh rumfummeln oder gibts da sonst was brauchbares?
mfg
richard
Hi,
das kann ich dir nicht sagen, was ist mit der rbash (restricted bash)? Kann die das vielleicht? Ich habs noch nie gebraucht.
Ciao, Bernie
in den Verzeichnissen die im PATH liegen, kein andere Shell sein.
T,o)Mes
wie wäre es wenn man /home noexec mountet ??? und dann ganz einfach die rbash startet, und den PATH richtig einstellt!
derRichard
06.09.02, 22:13
Original geschrieben von Badsteve
wie wäre es wenn man /home noexec mountet ??? und dann ganz einfach die rbash startet, und den PATH richtig einstellt!
hmm, das könnte gehen...
aber die user sind ja in einer chroot-umgebung gefangen und da is auch das verzeichnis /bin und das muss ausfürbar sein.
also geht es doch nicht.
mfg
richard
fuer alle Programme, die der User ausfuehren darf (muss) ein exta Verzeichniss ( z.B. /user-bin ) anlegen und in diesen dann die die *prog* linken. Diese Verzeichniss einfach dann alleine in den PATH des Users. Durch rbash kann er ja in keine anderen Verzeichnisse wechseln und keine *progs* ausfuehren die ein Slash beinhalten ( /bin/sh ), also therotisch dann doch auch nicht ./blabla, wegen dem Slash.
T;o)Mes
derRichard
08.09.02, 13:13
Original geschrieben von tomes
fuer alle Programme, die der User ausfuehren darf (muss) ein exta Verzeichniss ( z.B. /user-bin ) anlegen und in diesen dann die die *prog* linken. Diese Verzeichniss einfach dann alleine in den PATH des Users. Durch rbash kann er ja in keine anderen Verzeichnisse wechseln und keine *progs* ausfuehren die ein Slash beinhalten ( /bin/sh ), also therotisch dann doch auch nicht ./blabla, wegen dem Slash.
T;o)Mes
hallo!
das mit dem verlinken geht irgend wie nicht :(
root@server2 nod # ln -d /data/ssh_jail/bin bin
ln: creating hard link `bin' to `/data/ssh_jail/bin': Invalid cross-device link
/data is eine andere festplatte.
mach ich da was falsch?
mfg
richard
hardlinks kannst du nur verwenden wenn
ziel und ursprung auf derselben partition liegen.
Verwende softlink
ln -s
derRichard
08.09.02, 14:27
Original geschrieben von msi
hardlinks kannst du nur verwenden wenn
ziel und ursprung auf derselben partition liegen.
Verwende softlink
ln -s
gut, dann hab ich ein problem...
mfg
richard
derRichard
08.09.02, 23:27
hallo!
bei mandrake 8.1 gibt es doch bei msec die option "/" verbieten oder so, dann konnte man jedenfalls nur noch die programme starten die in der path-variable waren.
hat zufällig jemand mdk 8.1 laufen?
mfg
richard
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.