Konta shell

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

mib
Użytkownik
Posty: 26
Rejestracja: 2006-01-26, 08:22

Konta shell

Post autor: mib »

Jak zorbic aby uzytkownicy nei mogli przegladac zadnego folderu poza katalogiem /home ??
przemek999
Pomocnik
Posty: 1157
Rejestracja: 2005-03-04, 18:27

Re: Konta shell

Post autor: przemek999 »

mib ale dlaczego nie maja ? W zaden sposób to nie podniesie bezpieczenstwa - wazne, aby konkretne pliki/katalogi mialy odp. prawa.
mib
Użytkownik
Posty: 26
Rejestracja: 2006-01-26, 08:22

Re: Konta shell

Post autor: mib »

Ja sobie nie zycze zeby mi ktos patrzyl jak mam co skonfigurowane, bez mojej zgody.
Widzialme kiedys taki serwer ze tylko w home moglem wjes a wszedzie indziej byly blokady.

Tez tak chce :)
Awatar użytkownika
benetnash
Moderator w st. spocz.
Posty: 1467
Rejestracja: 2004-12-17, 20:09
Lokalizacja: Poznań
Kontakt:

Re: Konta shell

Post autor: benetnash »

obierz im prawa odczytu odpowiednich plików i daj na katalogi prawa klasy 0754
[url=http://www.icpnet.pl/~benetnash/benetnash.asc]GnuPG[/url]
Awatar użytkownika
Randalf
Użytkownik
Posty: 72
Rejestracja: 2005-12-21, 04:59

Re: Konta shell

Post autor: Randalf »

mib, a jeśli bardzo ci zależy i chcesz się pobawić to możesz im stworzyć chrootowane środowisko, przy pomocy programu Jail :P
Awatar użytkownika
Barca
Użytkownik
Posty: 277
Rejestracja: 2005-01-24, 20:25

Re: Konta shell

Post autor: Barca »

Grsec zdajsie na to pozwala.
swindler
Użytkownik
Posty: 8
Rejestracja: 2006-02-08, 11:26

Re: Konta shell

Post autor: swindler »

jak ktos sie loguje przez ftp'a ty uzywasz proftpd, to mozesz dodac do proftpd.conf wpis

DefaultRoot ~

w php aby user nie mogl przegladac katalogow i plikow serwera (np uzywajac include("/etc/passwd"); ) dobrze jest ustawic tryb safe mode w php.ini)

mozesz tez zabrać prawa odczytu do katalogu /etc/ dla zwyklych userow, ale gdy ktos bedzie zgadywac nazwy plikow w tym katalogu i wpisze "more /etc/passwd" (a nie trudno zgadnac ze instnieje taki plik) to i tak mu sie pokaze zawartosc pliku passwd.
gdy zabierzesz natomiast prawa odczytu do passwd, to zwykly user nie bedzie mogl sie logowac (przynajmniej u mnie tak sie dzieje). ale jak komus dajesz shell'a, to jak ktoś już tutaj napisał, to czy będzie mógł przeglądać niektóre katalogi czy nie, wiele w bezpieczeństwie (o ile cokolwiek) nie zmienia.
Awatar użytkownika
jiim
Użytkownik
Posty: 212
Rejestracja: 2004-06-18, 08:14
Kontakt:

Re: Konta shell

Post autor: jiim »

chroot badz jail zwiekszaja bardzo bezpieczenstwo, jesli ktos dba o swoj system i nie chce zeby user mial dostep do niektorych katalogow badz plikow to dobrze i nim swiadczy

polacz jail + odpowiednie chmod i masz dosc bezpieczny system, pamietaj jeszcze o aktualnym oprogramowaniu i przegladaniu tego co w systemie sie dzieje, no i odpowiedniej konfiguracji uslug :)

odpowiedz na pytania "po co?"

po to zeby user nie znal konfiguracji serwera
zeby nie mogl odpalac niektorych uslug
zeby nawet po przejeciu jakiej uslugi nie wyszedl poza klatke
cos by sie jeszcze znalazlo

taka konfiguracja wymaga czasu i umiejetnosci ale sie oplaca :)
Awatar użytkownika
Ciuciu
Administrator
Posty: 921
Rejestracja: 2004-05-26, 21:01
Lokalizacja: 3C17y
Kontakt:

Re: Konta shell

Post autor: Ciuciu »

Pytanie w takim razie: po co dawać mu shella ?
[color=#888888][i][size=75]Whatever walks in my heart
Will walk alone...[/size][/i][/color]
Awatar użytkownika
jiim
Użytkownik
Posty: 212
Rejestracja: 2004-06-18, 08:14
Kontakt:

Re: Konta shell

Post autor: jiim »

np zeby mogl czytac poczte :)
poznawac komendy `ls` `cd` `mkdir` `mc` itd
zeby mogl sobie zostawic sesje irc czy czego tam sobie zyczy :)
Awatar użytkownika
Spaulding
Użytkownik
Posty: 564
Rejestracja: 2005-07-17, 14:59
Lokalizacja: Chełm
Kontakt:

Re: Konta shell

Post autor: Spaulding »

ja mam podobny problem :) jakis zlosliwy chcial na pytty kde odpalic :) dobrze ze sie zlukalem :)
Powered By:
funtoo, openbox, mc, ekg2, git, ssh...
(very unstable packages but stable system :>)
ODPOWIEDZ