** Proprietary ** Hallo Leute, ich versuche schon den ganzen Vormittag einen bestimmten User hier "test" so einzuloggen, das er nicht mehr aus seinem $HOME Verzeichnis in richtung root wechseln kann. Habe anpassungen in /etc/sudors gemacht test aixnoe2=/usr/bin/chroot #user test kann chroot mit rootrechten ausführen. Ich hoffe das ist richtig so. Verzeichniss Struktur im Home Verzeichniss der benutzers test angelegt drwxr-xr-x 2 root root 1024 Apr 25 10:25 bin drwxr-xr-x 2 root root 1024 Apr 25 13:25 dev drwxr-xr-x 2 root root 1024 Apr 25 10:24 etc drwxr-xr-x 2 root root 1024 Apr 25 10:24 lib drwxr-xr-x 2 root root 1024 Apr 25 10:24 msgs drwxr-xr-x 2 root root 1024 Apr 25 10:24 pub drwxr-xr-x 2 root root 1024 Apr 25 13:23 sbin drwxr-xr-x 3 root root 1024 Apr 25 10:24 usr Kleines shell script geschrieben #!/bin/sh cd /home/test/ chroot /home/test/ /etc/passwd sieht so aus test:x:504:0:testuser:/home/test:/usr/local/testlogin UND Ich bekomme immer wieder die gleich meldung: login: test Password: Last login: Tue Apr 25 13:23:55 on tty2 Have a lot of fun... chroot: cannot change root directory to /home/test/: Operation not permitted Ich habe keine IDEE mehr. Vielecht kann mir jemand auf die Sprünge helfen. Mit freundlichen Grüßen Best Regards Michael Ackermann Supervisor IS Technical Support fon: 06026 950 148 fax: 06026 950 323 E-Mail: michael.ackermann@nintendo.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Michael Ackermann schrieb in 1,7K (61 Zeilen):
** Proprietary **
Nix da.
ich versuche schon den ganzen Vormittag einen bestimmten User hier "test" so einzuloggen, das er nicht mehr aus seinem $HOME Verzeichnis in richtung root wechseln kann.
Und welchen Zweck hat das ganze, ausser dass der User sich die Tools eben runterlaedt? -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Wolfgang Weisselberg wrote on Fri, Apr 28, 2000 at 02:44 +0200:
Michael Ackermann schrieb in 1,7K (61 Zeilen):
ich versuche schon den ganzen Vormittag einen bestimmten User hier "test" so einzuloggen, das er nicht mehr aus seinem $HOME Verzeichnis in richtung root wechseln kann.
Und welchen Zweck hat das ganze, ausser dass der User sich die Tools eben runterlaedt?
Na, in einem _schreibbaren_ Home macht das keinen Sinn, klar! restricted Shell z.B. kann man ganz prima mit einem Script "austrixen", und das ist kein Bug, sondern ein Feature (Idee: home enthält Wrapper, selbstverständlich alles r/o, User darf nur Wrapper starten, z.B. für ein Menü: Datendiskette lesen, Datendiskette schreiben, root-festplatte Formatieren :) ). oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Steffen Dettmer schrieb in 1,0K (30 Zeilen):
* Wolfgang Weisselberg wrote on Fri, Apr 28, 2000 at 02:44 +0200:
Michael Ackermann schrieb in 1,7K (61 Zeilen):
ich versuche schon den ganzen Vormittag einen bestimmten User hier "test" so einzuloggen, das er nicht mehr aus seinem $HOME Verzeichnis in richtung root wechseln kann.
Und welchen Zweck hat das ganze, ausser dass der User sich die Tools eben runterlaedt?
Na, in einem _schreibbaren_ Home macht das keinen Sinn, klar!
Ein nicht-schreibbares Home. Ok. Keine Mail (da chroot und nur ro-Home), keine Programme, die /tmp o.ae. wollen, ... Hmmm ... Aeh, ich verstehe immer noch nicht den Sinn, es sei denn, er will _einen_ User bestrafen. Und das mache ich anders. passwd -l $luser, z.B. :-) -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Wolfgang Weisselberg wrote on Fri, Apr 28, 2000 at 12:43 +0200:
Steffen Dettmer schrieb in 1,0K (30 Zeilen):
Na, in einem _schreibbaren_ Home macht das keinen Sinn, klar!
Ein nicht-schreibbares Home. Ok. Keine Mail (da chroot und nur ro-Home),
Richtig, denn sonst könnte man versuchen, z.B. die Mail als Shellscript zu starten (mag vielleicht möglich sein. Gibt dann zwar fehler wegen fehlerhafter Daten [Header], aber vermutlich läßt sich das was trixen. Im Idealfall mit IMAP oder so). Man könnte vielleicht auch versuchen, noexec zu erzwingen, z.B. bei NFS oder weiß ich was, aber IMHO alles bißchen sehr unsauber.
/tmp o.ae. wollen, ... Hmmm ... Aeh, ich verstehe immer noch nicht den Sinn, es sei denn, er will _einen_ User bestrafen.
Na, wenn Du z.B. einen "Menü-Account" hast, der darf genau 10 verschiedene Scripte starten, z.B. save ssh key to disk, restore ssh key from disk (Rest macht ein SSH-Wrapper), oder für einen User, der nur genau minicom benutzen darf, oder sowas in der Art. Also nicht unbedingt Benutzeraccounts, sondern spezialisierte Funktionsaccounts. Gut, die Frage nach dem Bedarf stellt sich, und es gibt auch immer andere Möglichkeiten. Aber so ne Shell zum Password ändern oder so vielleicht.
Und das mache ich anders. passwd -l $luser, z.B. :-)
Dann geht gar kein login mehr. Dann braucht man den User i.d.R. gar nicht ;) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Steffen Dettmer wrote:
* Wolfgang Weisselberg wrote on Fri, Apr 28, 2000 at 12:43 +0200:
Steffen Dettmer schrieb in 1,0K (30 Zeilen):
Na, in einem _schreibbaren_ Home macht das keinen Sinn, klar!
Ein nicht-schreibbares Home. Ok. Keine Mail (da chroot und nur ro-Home),
Also, ich habe gerade mal folgendes ausprobiert: (Nur um zu sehen, ob man einen User derart amputieren kann.) 1. als root verzeichnis /test angelegt. 2. In yast user tester angelegt. 3. /home/tester/* nach /test kopiert 4. /home/tester gelöscht 5. Symlink tester auf /test. 6. rechte auf ro gesetzt. Ergebnis: tester kann nicht einmal Enlightenment starten, weil er keine Schreibrechte hat. Ob das mit anderen Windowmanagern geht, weiß ich nicht. Auf jeden Fall kann er auf der Konsole z.B. mc ausführen. CU Felix -- http://www.pingos.schulnetz.org http://www.surf-guide.de http://www.selflinux.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Andreas Kalbitz wrote on Fri, Apr 28, 2000 at 19:40 +0200:
Ein nicht-schreibbares Home. Ok. Keine Mail (da chroot und nur ro-Home),
Ergebnis: tester kann nicht einmal Enlightenment starten, weil er keine Schreibrechte hat. Ob das mit anderen Windowmanagern geht, weiß ich nicht.
Klar, richtig. Enlightment ist auch sehr komplex, da kann man sehr viel mit machen. Was möchtest Du? Soll der User arbeiten können, oder ein chroot Home haben?
Auf jeden Fall kann er auf der Konsole z.B. mc ausführen.
Wozu sollte er auch? Um seine beiden erlaubten Scripte zu starten? Wenn es einen mc im chroot Zweig gäbe, was sollte der User damit?! Nimm es jetzt nicht falsch, aber weißt Du überhaupt _genau_, was Du wirklich willst?! Ist doch klar: nagelst Du irgentwas richtig zu, kann man damit kaum noch was machen, das ist ja gerade der Sinn am zunageln! oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Steffen Dettmer wrote:
* Andreas Kalbitz wrote on Fri, Apr 28, 2000 at 19:40 +0200:
-----
Klar, richtig. Enlightment ist auch sehr komplex, da kann man sehr viel mit machen. Was möchtest Du? Soll der User arbeiten können, oder ein chroot Home haben?
Nichts weiter, ich wollte das einfach nur mal ausprobieren. ;-)
Auf jeden Fall kann er auf der Konsole z.B. mc ausführen.
Wozu sollte er auch? Um seine beiden erlaubten Scripte zu starten? Wenn es einen mc im chroot Zweig gäbe, was sollte der User damit?! Nimm es jetzt nicht falsch, aber weißt Du überhaupt _genau_, was Du wirklich willst?!
Hehe, das ist nicht mein thread. Ich wollte einfach nur mal sehen, welche Möglichkeiten ein User noch hat, der keine Schreibrechte besitzt. Das mit dem Enlightenment hat mich anfangs überrascht, aber es ist logisch, weil das Teil die userspezifischen Einstellungen nun mal im Home-Verzeichnis speichern will.
Ist doch klar: nagelst Du irgentwas richtig zu, kann man damit kaum noch was machen, das ist ja gerade der Sinn am zunageln! ACK CU Felix
-- Du willst das Zehn-Finger-System erlernen? AM PC?? http://www.pingos.schulnetz.org/tipptrainer/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Steffen Dettmer schrieb in 1,6K (45 Zeilen):
* Wolfgang Weisselberg wrote on Fri, Apr 28, 2000 at 12:43 +0200:
Na, wenn Du z.B. einen "Menü-Account" hast, der darf genau 10 verschiedene Scripte starten,
... dann nimmst du als login-shell /usr/bin/local/menu-script und sorgst dafuer, dass dieses wasserdicht ist. Oder?
Und das mache ich anders. passwd -l $luser, z.B. :-)
Dann geht gar kein login mehr. Dann braucht man den User i.d.R. gar nicht ;)
Du brauchst die user bin, daemon, news, lp, at, man, wwwrun, squid, nobody ... alle nicht? -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Wolfgang Weisselberg wrote on Sat, Apr 29, 2000 at 16:27 +0200:
Steffen Dettmer schrieb in 1,6K (45 Zeilen):
* Wolfgang Weisselberg wrote on Fri, Apr 28, 2000 at 12:43 +0200:
Na, wenn Du z.B. einen "Menü-Account" hast, der darf genau 10 verschiedene Scripte starten,
... dann nimmst du als login-shell /usr/bin/local/menu-script und sorgst dafuer, dass dieses wasserdicht ist. Oder?
Ja, und das heißt dann u.U., daß ich ne restricted shell verwende, wenn er es doch über ne Shell starten soll. Menü ist natürlich schöner :) Nur so zur Sicherheit vielleicht. Kommt eben immer drauf an, was man möchte. Jedenfalls ist IMHO ein chroot Home nicht sehr sinnvoll, wenn man damit arbeiten möchte. Man kann höchtens ein chroot machen, wo als Unterverzeichnis das home liegt oder so. Mag gehen. Sonst ist's Mist, weil ich mit /etc/shadow und passwd erzeugen kann, dann brauch ich nur noch /bin/su...
Und das mache ich anders. passwd -l $luser, z.B. :-)
Dann geht gar kein login mehr. Dann braucht man den User i.d.R. gar nicht ;)
Du brauchst die user bin, daemon, news, lp, at, man, wwwrun, squid, nobody ... alle nicht?
Wir sprachen doch von Benutzern im Sinne von Leuten, die vor'm Rechner sitzen. Ein System-User ist natürlich was anderes. Da mag auch ein chroot Sinn machen, ne restriced nicht interaktive Shell dann eher weniger :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (4)
-
felix@musik-workshop.de -
Michael.Ackermann@nintendo.de -
steffen@dett.de -
weissel@netcologne.de