hallo!

wie kann ich es machen ,dass ein user nur die programme aus /bin bzw. /usr/bin ausführen kann?
also, er darf nicht ./programmname machen.

mfg
richard

Genügt es da nicht, die Rechte der entsprechende Dateien einfach zu ändern?

nein, dann kann der user ja seine eigene programme auf den server laden und dort ausführen...

mfg
richard

Hi,

das lässt sich vermutlich nur durch eine gepatchte Shell bewerkstelligen, die die Kommandos zuerst überprüft und dann erst ausführt.

Ciao, Bernie

stimmt. das habe ich nicht bedacht:ugly: Naja, dann mal viel Erfolg dabei

Sym

Original geschrieben von bernie_x
Hi,

das lässt sich vermutlich nur durch eine gepatchte Shell bewerkstelligen, die die Kommandos zuerst überprüft und dann erst ausführt.

Ciao, Bernie

hallo!

hmm, muss ich da jetzt am sourcecode von sh rumfummeln oder gibts da sonst was brauchbares?

mfg
richard

Hi,

das kann ich dir nicht sagen, was ist mit der rbash (restricted bash)? Kann die das vielleicht? Ich habs noch nie gebraucht.

Ciao, Bernie

in den Verzeichnissen die im PATH liegen, kein andere Shell sein.

T,o)Mes

wie wäre es wenn man /home noexec mountet ??? und dann ganz einfach die rbash startet, und den PATH richtig einstellt!

Original geschrieben von Badsteve
wie wäre es wenn man /home noexec mountet ??? und dann ganz einfach die rbash startet, und den PATH richtig einstellt!

hmm, das könnte gehen...
aber die user sind ja in einer chroot-umgebung gefangen und da is auch das verzeichnis /bin und das muss ausfürbar sein.
also geht es doch nicht.

mfg
richard

fuer alle Programme, die der User ausfuehren darf (muss) ein exta Verzeichniss ( z.B. /user-bin ) anlegen und in diesen dann die die *prog* linken. Diese Verzeichniss einfach dann alleine in den PATH des Users. Durch rbash kann er ja in keine anderen Verzeichnisse wechseln und keine *progs* ausfuehren die ein Slash beinhalten ( /bin/sh ), also therotisch dann doch auch nicht ./blabla, wegen dem Slash.

T;o)Mes

Original geschrieben von tomes
fuer alle Programme, die der User ausfuehren darf (muss) ein exta Verzeichniss ( z.B. /user-bin ) anlegen und in diesen dann die die *prog* linken. Diese Verzeichniss einfach dann alleine in den PATH des Users. Durch rbash kann er ja in keine anderen Verzeichnisse wechseln und keine *progs* ausfuehren die ein Slash beinhalten ( /bin/sh ), also therotisch dann doch auch nicht ./blabla, wegen dem Slash.

T;o)Mes

hallo!

das mit dem verlinken geht irgend wie nicht :(



root@server2 nod # ln -d /data/ssh_jail/bin bin
ln: creating hard link `bin' to `/data/ssh_jail/bin': Invalid cross-device link

/data is eine andere festplatte.

mach ich da was falsch?

mfg
richard

hardlinks kannst du nur verwenden wenn
ziel und ursprung auf derselben partition liegen.

Verwende softlink
ln -s

Original geschrieben von msi
hardlinks kannst du nur verwenden wenn
ziel und ursprung auf derselben partition liegen.

Verwende softlink
ln -s

gut, dann hab ich ein problem...

mfg
richard

hallo!

bei mandrake 8.1 gibt es doch bei msec die option "/" verbieten oder so, dann konnte man jedenfalls nur noch die programme starten die in der path-variable waren.
hat zufällig jemand mdk 8.1 laufen?

mfg
richard