PDA

Visualizza la versione completa : limitare al minimo le operazioni di un utente


nik600
22-04-2006, 09:36
ciao

dovrei dare accesso ad un utente su un server web via ssh, le cose che dovrebbe poter fare questo utente sono:

- accedere ad una determinata directory (solamente ad una) del file system all'interno della quale creare, eliminare, ,editare, modificare files
- personalizzare il proprio crontab
- utilizzare mysql da shell

è possibile far fare il chroot solo ad un utente?
io pensavo di fare una cosa del tipo:

/ root utente
-> bin / qui ci copio un po di programmi che potrebbero servirgli (ls/mkdir/rm/mysql/emacs/vi)
-> web / qui lui ci fa quello che vuole

il problema resterebbe crontab, come fa lui a modificarsi crontab se viene "chrootato"

e comunque, tutto cio è possibile? utilizzo slackware

sacarde
22-04-2006, 11:06
non ho capito:

...viene chroottato.....


l'utente esegue chroot dentro ssh ?

nik600
22-04-2006, 11:38
appunto, è probabilissimo che io abbia sparato una cazzata, è possibile fare in modo che un utente quando fa il login tramite ssh venga "limitato" ad una porzione di filesystem?

ciao e grazie

sacarde
22-04-2006, 12:32
http://sicurezza.html.it/articoli/leggi/1016/servizi-sicuri-tramite-ssh-pam-chroot/1/

http://openskills.info/infobox.php?ID=1351

nik600
22-04-2006, 12:33
ottimo!!

grazie mille

nik600
22-04-2006, 18:46
iao

sono riuscito a creare l'ambiente di chroot, e se provo a chrootarmi da shell funziona, non va però la procedura via ssh

ovviamente ho scaricato la versione giusta per me:
OpenSSH_3.9p1
l'ho compilata, e installata, ho riavviato sshd

questo è l'untente che ho creato:

utente:x:1012:100:,,,:/home/prove_chroot/./home/utente:/bin/bash

l'untente al login viene correttamente messo nella sua home, ma la root non viene cambiata... c'è un log di queste operazioni?

grazie

sacarde
22-04-2006, 19:49
hai seguito questo?

http://sicurezza.html.it/articoli/leggi/1016/servizi-sicuri-tramite-ssh-pam-chroot/5/

sacarde
22-04-2006, 20:19
http://chrootssh.sourceforge.net/index.php?node=docs

nik600
24-04-2006, 17:17
ho risolto!

il problema era che il make install metteva gli eseguibili in /usr/local/bin mentre il pacchetto precedente della slackware li aveva messi un /usr/bin

ho quindi eliminato il pacchetto e messo i path giusti in /etc/rc.d/rc.sshd

;-)

ciao e grazie

PS: certo che chroot sembra proprio a prova di bomba!
nel senso, avendo lasciato solo questi eseguibili nell'ambiente chroot:


bash cat cp ls mkdir mv mysql pwd rm sh


e avendo dato la possibilità all'utente di scrivere solo nella sua home... quali altri rischi si corrono?

Loading