hi, gibt es irgendein script oder so, das dafür sorgt, das der User XY nur noch im Verzeichnis /home/xy rumpfuschen darf? ich könnte natürlich hergehen und alles von Hand umstellen aber zum einen is es eine heiden arbeit, hab's scho mal gmacht :) und zum andern will ich ja, das mein system im nachhinein noch läuft. cu, t.s.
On 03-Oct-2001 Thorsten Spätling wrote:
gibt es irgendein script oder so, das dafür sorgt, das der User XY nur noch im Verzeichnis /home/xy rumpfuschen darf? ich könnte natürlich
Das verstehe ich jetzt nicht. Woanders als in /home/xy und
eingeschraenkt natuerlich in /tmp kann er doch gar nicht herumpfuschen.
Gruss,
Heinz.
--
E-Mail: Heinz W. Pahlke
"Heinz W. Pahlke" schrieb:
On 03-Oct-2001 Thorsten Spätling wrote:
gibt es irgendein script oder so, das dafür sorgt, das der User XY nur noch im Verzeichnis /home/xy rumpfuschen darf? ich könnte natürlich
Das verstehe ich jetzt nicht. Woanders als in /home/xy und eingeschraenkt natuerlich in /tmp kann er doch gar nicht herumpfuschen.
ja schon ich will ihn aber so einschränken, dass er nicht einmal mehr 'ls' ausführen kann. rumpfuschen ist als synonym für rumstöbern zu betrachten.
Am Wed, 03 Oct 2001 schrieb Thorsten Spätling:
ja schon ich will ihn aber so einschränken, dass er nicht einmal mehr 'ls' ausführen kann.
Was sollte das bringen? Security by Obscurity? Wenns unbedingt sein muß, setz ihn in ein chroot Jail. -- MfG, Erhard Schwenk
ich seh schon, ich muss da nochmal was dazu sagen. mir geht's net darum dem user ein paar befehle weg zu nehmen(ich hätt' wahrscheinlich auch so missverstanden), sondern das er eben nur in seinem home-verzeichnis rumkopieren und alles mögliche machen kann. d.h. wenn er etz in der shell is: xy@yz: ~> cd .. permission denied darauf will ich aus. klar, ich kann etz einfach hergehen und verbieten ins /home zu wechseln, aber mit absoluten pfadangaben kommt er ja immernoch überall hin. Erhard Schwenk schrieb:
Am Wed, 03 Oct 2001 schrieb Thorsten Spätling:
ja schon ich will ihn aber so einschränken, dass er nicht einmal mehr 'ls' ausführen kann.
Was sollte das bringen? Security by Obscurity?
Wenns unbedingt sein muß, setz ihn in ein chroot Jail.
-- MfG,
Erhard Schwenk
Am Don, 04 Okt 2001, schrieb Thorsten Spätling:
ich seh schon, ich muss da nochmal was dazu sagen. mir geht's net darum dem user ein paar befehle weg zu nehmen(ich hätt' wahrscheinlich auch so missverstanden), sondern das er eben nur in seinem home-verzeichnis rumkopieren und alles mögliche machen kann. d.h. wenn er etz in der shell is:
Ja aber er kann doch nur rumkopieren, wenn er die Rechte dazu hat. In /home hat ein normaler Benutzer aber keine Schreibrechte. Um das System funktionsfähig zu erhalten, mußt Du ihm aber ein paar Rechte geben...
xy@yz: ~> cd .. permission denied
Warum stört es Dich, wenn der Benutzer nach /home wechselt? Wenn jeder Benutzer z.B. sein Verzeichnis auf rwx------- setzt, kommt ein normaler Nutzer von dort genau in sein Homeverzeichnis uns kann sonst nichts machen.
darauf will ich aus. klar, ich kann etz einfach hergehen und verbieten ins /home zu wechseln, aber mit absoluten pfadangaben kommt er ja immernoch überall hin.
Und was soll er dort anrichten, sich den Binärcode von /bin/ls angucken oder was? Willst Du ihm das verbieten? Mag sein, daß es möglich ist, für einen ganzem Haufen von Dateien und Verzeichnissen nur das x Attribut zu setzen, nicht das Leserecht. Habe ich noch nie probiert, aber vielleicht ist es das, was Du suchst... Gruß Christoph -- Christoph Maurer - Paul-Röntgen-Straße 7 - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
yoh christoph, du hast's geblickt. (dein nachname erinnert mich an jemanden der genauso heißt, auf seinen visitenkarten aber 'Mauerer' stehen hat, scho schwer, den eigenen namen zu schreiben) man kann des auch mit einem FTP-Server vergleichen, was ich da so vor hab. dort loggt man sich ja auch ein, kommt aber nicht mehr aus dem verzeichnis herraus. man hat ein paar befehle, die man braucht und wie der rest vom server ausschaut geht einem nix an. der eigentliche grund warum ich des machen will, is das ich so zu sagen meinen User demoliert hab, NetScape geht nimmer, bzw. bringt dann den ganzen X-Server zum crashen. -> ich spiel z.Z. als User Root aweng rum - ich weiß viele würde mich jetzt dafür steinigen, aber ich will ja eh baldig neu installieren. und dann will ich eben dafür sorgen, dass ich von vorneherein an meinem system nichts kaputt machen kann.
Und was soll er dort anrichten, sich den Binärcode von /bin/ls angucken oder was? Willst Du ihm das verbieten? cat /bin/ls > ~/ls und schon hätte er sein eigenes 'ls'. oder lieg ich da falsch? hab das mal irgendwo gelesen.
Um das System funktionsfähig zu erhalten, mußt Du ihm aber ein paar Rechte geben... so is es, drum hab ich ja gefragt ob es für das was ich vorhab scho irgendwo eine art script gibt.
Christoph Maurer schrieb:
Am Don, 04 Okt 2001, schrieb Thorsten Spätling:
ich seh schon, ich muss da nochmal was dazu sagen. mir geht's net darum dem user ein paar befehle weg zu nehmen(ich hätt' wahrscheinlich auch so missverstanden), sondern das er eben nur in seinem home-verzeichnis rumkopieren und alles mögliche machen kann. d.h. wenn er etz in der shell is:
Ja aber er kann doch nur rumkopieren, wenn er die Rechte dazu hat. In /home hat ein normaler Benutzer aber keine Schreibrechte.
Um das System funktionsfähig zu erhalten, mußt Du ihm aber ein paar Rechte geben...
xy@yz: ~> cd .. permission denied
Warum stört es Dich, wenn der Benutzer nach /home wechselt? Wenn jeder Benutzer z.B. sein Verzeichnis auf rwx------- setzt, kommt ein normaler Nutzer von dort genau in sein Homeverzeichnis uns kann sonst nichts machen.
darauf will ich aus. klar, ich kann etz einfach hergehen und verbieten ins /home zu wechseln, aber mit absoluten pfadangaben kommt er ja immernoch überall hin.
Und was soll er dort anrichten, sich den Binärcode von /bin/ls angucken oder was? Willst Du ihm das verbieten? Mag sein, daß es möglich ist, für einen ganzem Haufen von Dateien und Verzeichnissen nur das x Attribut zu setzen, nicht das Leserecht. Habe ich noch nie probiert, aber vielleicht ist es das, was Du suchst...
Gruß
Christoph
On 04-Oct-01 Thorsten Spätling wrote:
cat /bin/ls > ~/ls und schon hätte er sein eigenes 'ls'. oder lieg ich da falsch? hab das mal irgendwo gelesen.
Da liegst Du falsch, er muß mindestens noch ein chmod +x drauf machen. Das kann er aber immer, wenn er überhaupt irgendwo ls ausführen kann. Abgesehen davon: was sollte das bringen? Er hat dann ne kopie von ls in seinem Home liegen. Die unterscheidet sich nur dadurch von /bin/ls, daß sie seine UID und seine GID trägt. Natürlich könnte er sie ausführen - aber da er ohnehin /bin/ls ausführen kann bringt ihm das auch nix. Also welche Art von Schaden sollte ein User damit anrichten können? -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
Am Don, 04 Okt 2001, schrieb Thorsten Spätling:
Christoph Maurer schrieb:
Am Don, 04 Okt 2001, schrieb Thorsten Spätling:
ich seh schon, ich muss da nochmal was dazu sagen. mir geht's net darum dem user ein paar befehle weg zu nehmen(ich hätt' wahrscheinlich auch so missverstanden), sondern das er eben nur in seinem home-verzeichnis rumkopieren und alles mögliche machen kann. d.h. wenn er etz in der shell is:
Und was soll er dort anrichten, sich den Binärcode von /bin/ls angucken oder was? Willst Du ihm das verbieten? cat /bin/ls > ~/ls und schon hätte er sein eigenes 'ls'. oder lieg ich da falsch? hab das mal irgendwo gelesen.
Sicher, wenn Du es noch ausführbar machst, dann mach es aber wenigstens konsistent, lege ein Verzeichnis ~/bin an und in den PATH des Benutzers. Was vielleicht irgendwie geht, ist home auf rwxr-x--x zu setzen, alle anderen Verzeichnisse, für den Benutzer zu sperren, und alle, wirklich alle Programme, die er braucht, in seinem $HOME abzulegen (bei X z.B. nicht sinnvoll), die Shell dann natürlich auch und den Eintrag in /etc/passwd umbiegen. Je mehr ich darüber nachdenke, desto sinnloser finde ich's. Wenn Du Dein System supersicher machen willst, gibt es spezielle, auf Sicherheit ausgelegte Distributionen, da ist dann AFAIK der Kernel so gepatcht, daß noch nicht mal root alles darf. Aber ein x-beliebiges SuSE-System kann im Normalzustand von einem Benutzer kaum vermurkst werden, es sei denn durch Ausnutzung von Sicherheitslücken etc. Du kannst ja mal mit find (ich hoffe das geht) alle Programme suchen lassen, die das s-Bit gesetzt haben und das soweit möglich wegnehmen (Ich glaube das harden_suse Skript auf den CDs tut sowas) aber danach kannst Du es gut sein lassen... Gruß Christoph -- Christoph Maurer - Paul-Röntgen-Straße 7 - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
ich hab etz wieder einwenig rumprobiert und das was ich suchte, ist eigentlich schon erreicht wenn ich alle Rechte auf den '.' sprich auf's Verzeichnis so aber ändere: rwx--x--x und wenn ich mich recht entsinne, dann hab ich des schon mal gemacht, nur komischerweise ist nach einiger Zeit "das" 'r' wieder hinzugewandert. kann es sein, dass da irgendso'n prozess rumschaut und vermeintliche systemfehler ausmerzt? cu, t.s.
Hallo Thorsten! Ich darf dich mal auf die suse-security-Liste verweisen. Dort wird das gleiche Thema im Thread "restricting user commands" behandelt. Die Leute, die dort schreiben, haben sich schon ein wenig länger mit dem Problem auseinandergesetzt. Gruß, Andreas
* Thorsten Spätling schrieb am 03.Okt.2001:
"Heinz W. Pahlke" schrieb:
On 03-Oct-2001 Thorsten Spätling wrote:
gibt es irgendein script oder so, das dafür sorgt, das der User XY nur noch im Verzeichnis /home/xy rumpfuschen darf? ich könnte natürlich
Das verstehe ich jetzt nicht. Woanders als in /home/xy und eingeschraenkt natuerlich in /tmp kann er doch gar nicht herumpfuschen.
ja schon ich will ihn aber so einschränken, dass er nicht einmal mehr 'ls' ausführen kann. rumpfuschen ist als synonym für rumstöbern zu betrachten.
Dann müßtest Du ihm schon eine restrictet shell verpassen (siehe man bash) und im Pfad nur angepaßte Komandos stehen haben, zB. ein ls, daß es nicht erlaubt auf was anderes als /home zuzugreifen. Einfach nur diese Kommandos anlegen und im Pfad setzen reicht nicht, da er ja sonst mit absoluten Pfadangaben wieder an die alten Kommandos kommt. Also im Beispiel könnte er mit /bin/ls / wieder ganz oben nachschauen. Daher die restricted shell. Wenn der User nur über das Netzwerk zugreift und nie direkt am Rechner sitzt, dann gibt es, glaub ich, noch andere Möglichkeiten. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6
participants (6)
-
Andreas Achtzehn
-
B.Brodesser@t-online.de
-
Christoph Maurer
-
Erhard Schwenk
-
Heinz W. Pahlke
-
Thorsten Spätling