Forum Debian Users Gang

tajwan · 2016-01-21 22:23:38

Znalazłem taki sposób na zamknięcie użytkownika w katalogu logując się po ssh. Sposób działa, ale częściowo. Częściowo ponieważ jak user2 odpali sobie mc to może biegać po całym systemie.

Kod:

user2:x:1001:1001:,,,:/home/user2:/bin/rbash

Kod:

-rbash: cd..: nie znaleziono poleceniauser2@serwer:~$ cd
-rbash: cd: ograniczony
user2@serwer:~$ cd ..
-rbash: cd: ograniczony
user2@serwer:~$

Zmieniłem mu

Kod:

chmod 700 user2

Ale user2 dalej potrafi wyjść poza swój katalog.

Ostatnio edytowany przez tajwan (2016-01-27 00:12:46)

Jacekalex · 2016-01-21 22:39:10

Idealnie nadaje się Apparmor:

http://blog.corporatism.org/RestrictedShellWithAppArmor
https://blog.cryptomilk.org/2011/09/02/jailbash/

Masz go w Debianie OTB, wystarczy zainstalować userspace (jest w repo pod hasłem apparmor) i włączyć Apparmora w parametrach cmdline kernela.

Tu na wiki Debiana: https://wiki.debian.org/AppArmor

Nic lepszego nie znajdziesz.

Pozdro

Ostatnio edytowany przez Jacekalex (2016-01-21 23:02:48)

tajwan · 2016-01-21 22:46:40

Próbowałem jeszcze

Kod:

root@serwer:/home/user2# ls-l
bash: ls-l: nie znaleziono polecenia
root@serwer:/home/user2# ls -l
razem 12
drwxr-xr-x 2 user2 user2 4096 sty 21 21:56 [BEST - TORRENTS.NET] The.Transporter.Refueled.2015.PL.720p.BDRiP.XViD.AC3-K12
drwxr-xr-x 2 user2 user2 4096 sty 21 21:42 plik 700 MB
drwxr-xr-x 2 user2 user2 4096 sty 21 22:00 Ugotowany - Burnt (2015) [720p] [BRRip] [XviD-Grubytg] [AC3] [Zaloga FT]
root@serwer:/home/user2# chroot /home/user2
chroot: failed to run command ‘/bin/bash’: No such file or directory

Ale chyba coś źle robię.

Jacekalex · 2016-01-21 22:55:34

Chroot nie jest żadnym poważnym zabezpieczeniem, chyba, żeby dozbroić go przez opcje ochrony chroota, które oferuje Grsecurity, wtedy staje się dosyć skuteczną klatką.

Chodzi o te opcje:

Kod:

CONFIG_GRKERNSEC_CHROOT=y
CONFIG_GRKERNSEC_CHROOT_MOUNT=y
CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_RENAME=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y
# CONFIG_GRKERNSEC_CHROOT_INITRD is not set
CONFIG_GRKERNSEC_CHROOT_EXECLOG=y

Przykład takiej ochrony na przykładzie próby ataku DOS ICMP

Kod:

# Debian ###   czw sty 21 22:56:07  localhost : / 
root ~> ping -f localhost
ping: icmp open socket: Operation not permitted

Nadawanie uprawnień SUID, SGID:

Kod:

chmod 6755 `which bash`
chmod: nie można zmienić uprawnień do „/bin/bash”: Brak dostępu

Zablokowanie modyfikacji flag chattr:

Kod:

chattr +a /bin/bash
chattr: Operacja niedozwolona podczas ustawiania flag /bin/bash

Pozdro

Ostatnio edytowany przez Jacekalex (2016-01-21 23:01:01)

ethanak · 2016-01-22 04:57:34

@tajwan: zacznijmy od tego, do którego katalogu user nie może mieć dostępu - bo np. zablokowanie dostępu do /usr to mniej więcej tyle co skuteczne zamknięcie w klatce bez jedzenia i picia.
Jeśli do innych /home/coś - to się tym innym cosiom odpowiednie uprawnienia nadaje (typu 0700 właśnie), a nie katalogowi domowemu usera.

tajwan · 2016-01-22 10:26:40

Chce żeby miał dostęp tylko do swojego katalogu /home/user

yossarian · 2016-01-22 10:51:09

Co masz na myśli pisząc „dostęp”?
Konkretnie napisz co chcesz uzyskać.

ethanak · 2016-01-22 10:53:58

To pomyśl - w jaki sposób wykona np. "ls ~" jeśli nie będzie miał dostępu do polecenia ls? Skąd będzie wiedział gdzie ma swój katalog domowy jeśli nie będzie miał dostępu do /etc/passwd?
Jeśli coś nie ma być dostępne dla użytkownika to się to robi za pomocą praw dostępu (np. właściciel root i prawa 0700). Jeśli coś w systemie ma inne to znaczy że tak ma być i że user ma mieć do tego dostęp. Taka uroda systemu...

tajwan · 2016-01-22 12:28:46

Chcę żeby użytkownik bo zalogowaniu się po ssh nie mógł wyjść poza swój katalog udało mi się to zrobić wpisem do rbash, ale to nie działa w wypadku mc. No że chyba najprościej będzie nie instalowanie mc ale to mi trochę utrudni pracę. Chyba się udało nawet działa zostawiłem w passwd bin/rbash dla użytkownika i zaminiłem uprawnienia na katalog home/user2 na 0700 i zablokował go nawet mc nie chce odpalić :).

Kod:

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Fri Jan 22 12:33:33 2016 from 192.168.1.22
Could not chdir to home directory /home/user2: Permission denied
-rbash: /home/user2/.bash_profile: Brak dostępu
user2@serwer:/$ ls
aquota.user  dev   initrd.img  lost+found  opt     run   sys  var
bin         etc   lib           media       proc  sbin  tmp  vmlinuz
boot         home  lib64       mnt       root  srv   usr
user2@serwer:/$ cd home
-rbash: cd: ograniczony
user2@serwer:/$ cd etc
-rbash: cd: ograniczony
user2@serwer:/$ cd ..
-rbash: cd: ograniczony
user2@serwer:/$ mc
Wykonanie nie powiodło się:
Nie można utworzyć katalogu /home/user2/.config/mc
user2@serwer:/$ cd bin
-rbash: cd: ograniczony
user2@serwer:/$

Ostatnio edytowany przez tajwan (2016-01-22 12:37:28)

ethanak · 2016-01-22 12:53:05

Tyle że jak widzę zamiast zamknąć użytkownika w jego katalogu zablokowałeś mu po prostu do niego dostęp... jesteś pewien że o to Ci chodziło?

yossarian · 2016-01-22 12:59:40

Poza tym ten rbash jest cieniutki i przed niczym nie chroni.
Przykład w Wikipedii:

Kod:

 ~$ rbash
 ~$ cd /
 rbash: cd: restricted
 ~$ bash
 ~$ cd /
 /$

;)

tajwan · 2016-01-22 13:04:31

[quote=ethanak]Tyle że jak widzę zamiast zamknąć użytkownika w jego katalogu zablokowałeś mu po prostu do niego dostęp... jesteś pewien że o to Ci chodziło?[/quote]
No nie do końca gdzie popełniłem błąd. Fakt miał być zamknięty w katalogu a nie miał zablokowanego do niego dostępu.

ethanak · 2016-01-22 13:08:10

Błąd uczyniłeś w założeniach.
Powiedz wreszcie co dokładnie chcesz osiągnąć - tylko nie powtarzaj o "zamknięciu w katalogu" tylko czego chcesz userowi zabronić. Ma nie móc podejrzeć pliku w /home/user3 czy może nie ma prawa sprawdzić, co siedzi w /usr/bin?

tajwan · 2016-01-22 13:11:16

Chcę żeby user nie mógł biegać po całym systemie, on ma widzieć tylko swój katalog, a do innych nie miał dostępu. Żeby nawet przy po mocy mc nie mógł chodzić po całym systemie.

Ostatnio edytowany przez tajwan (2016-01-22 13:12:01)

ethanak · 2016-01-22 13:29:25

Kurde, z Ciebie to jak z lulka trza informacje wyciągać...
Ma widzieć zawartość /usr/bin czy nie ma, odpowiedz. Bo jak ma widzieć to 1ch czy wlezie tam emckiem czy zrobi sobie ls -l /usr/bin. A jeśli nie to odpowiedz dlaczego nie i w jaki sposób miałby wykonać polecenie znajdujące się w /usr/bin.

A tak z ciekawości - co masz takiego tajnego np. w /usr/share że zabraniasz userowi tam zajrzeć?

tajwan · 2016-01-22 13:38:12

Może widzieć zawartość /urs/bin nic tajnego nie trzymam w /usr/share. To może inaczej krótko i na temat żeby user nie wchodził i nie widział katalogów plików innych userów oraz żeby nie wchodził tam gdzie nie musi :)

ethanak · 2016-01-22 13:45:05

0711 root.root dla /home - to go nikt jnie podejrzy
Jeśli żadna z usług na serwerze (np. apache czy inna poczta) nie łazi po katalogu użytkownika, to 700 na katalog domowy. Jeśli łazi to np.:
- apache i inne łaziki należą do grupy access
- katalog /home/user ma 0710 user.access
Dość proste i w miarę skuteczne. A na 100% lepsze od kombinowania z rbashem i innymi wynalazkami z czasów telneta łupanego.

uzytkownikubunt · 2016-01-22 13:48:46

2594

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:31:58)

tajwan · 2016-01-22 13:57:31

Częściowo działa bo user nie może wejść do katalogu user2 fakt nie może wejść do innych katalogów, ale widzi wszystkich userów najlepiej by było żeby nie mógł wyjść poza swój katalog.

ethanak · 2016-01-22 14:02:46

czytałeś co napisałem czy może znowu tylko połowę?

Kod:

[ethanak@tia ~]$ ls /home
ls: nie można otworzyć katalogu /home: Brak dostępu
[ethanak@tia ~]$ ls -ld /home
drwx--x--x. 182 root root 4096 01-15 10:34 /home

thalcave · 2016-01-22 14:11:13

Możesz zablkoować listowanie zawartości /home. Ale po co?
Skoro ja jako user mogę równie dobrze wykonać

Kod:

cat /etc/passwd

I też będę miał listę userów na maszynie. A tego pliku nie możesz zablokować przed odczytem.

tajwan · 2016-01-22 14:31:56

ethanak Nie zauważyłem twojego postu dla tego się nie dogadalismy.

tajwan · 2016-01-27 00:15:53

Według [url]https://wiki.debian.org/chroot[/url] żeby zrobić chroot trzeba zainstalować

Kod:

apt-get install binutils debootstrap

I pytanie czy wystarczy wydać polecenie

Kod:

choot /home/user

czy trzeba coś jeszcze ustawić?

Jacekalex · 2016-01-27 00:22:12

[quote=yossarian]Poza tym ten rbash jest cieniutki i przed niczym nie chroni.
Przykład w Wikipedii:

Kod:

 ~$ rbash
 ~$ cd /
 rbash: cd: restricted
 ~$ bash
 ~$ cd /
 /$

;)[/quote]
Ale za to (ze względów bezpieczeństwa) blokuje skopiowanie klucza SSH przez [b]ssh-copy-id[/b].
:D

[b]@tajwan[/b]

czy trzeba coś jeszcze ustawić?[/quote]
Nie wystarczy, debootstrap nie jest od budowania chrootów, tylko do instalacji systemu z poziomu innego Linuxa.

Jak Ci koniecznie zależy na chrootach, to zainteresuj się np Jailkitem, Jailtoolem albo czymś podobnym.

Ostatnio edytowany przez Jacekalex (2016-01-27 00:29:09)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)

Time (s)	Query
0.00013	SET CHARSET latin2
0.00005	SET NAMES latin2
0.00092	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.35.247' WHERE u.id=1
0.00066	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.35.247', 1727807359)
0.00050	SELECT * FROM punbb_online WHERE logged<1727807059
0.00052	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28160 AND t.moved_to IS NULL
0.00006	SELECT search_for, replace_with FROM punbb_censoring
0.00198	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28160 ORDER BY p.id LIMIT 0,25
0.00087	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28160
Total query time: 0.00569 s

Forum Debian Users Gang

Ogłoszenie

#1 2016-01-21 22:23:38

tajwan - boss

Zamknięcie użytkownika w jego katalogu

Kod:

Kod:

Kod:

#2 2016-01-21 22:39:10

Jacekalex - Podobno człowiek...;)

Re: Zamknięcie użytkownika w jego katalogu

#3 2016-01-21 22:46:40

tajwan - boss

Re: Zamknięcie użytkownika w jego katalogu

Kod:

#4 2016-01-21 22:55:34

Jacekalex - Podobno człowiek...;)

Re: Zamknięcie użytkownika w jego katalogu

Kod:

Kod:

Kod:

Kod:

#5 2016-01-22 04:57:34

ethanak - Użytkownik

Re: Zamknięcie użytkownika w jego katalogu

#6 2016-01-22 10:26:40

tajwan - boss

Re: Zamknięcie użytkownika w jego katalogu

#7 2016-01-22 10:51:09

yossarian - Szczawiożerca

Re: Zamknięcie użytkownika w jego katalogu

#8 2016-01-22 10:53:58

ethanak - Użytkownik

Re: Zamknięcie użytkownika w jego katalogu

#9 2016-01-22 12:28:46

tajwan - boss

Re: Zamknięcie użytkownika w jego katalogu

Kod:

#10 2016-01-22 12:53:05

ethanak - Użytkownik

Re: Zamknięcie użytkownika w jego katalogu

#11 2016-01-22 12:59:40

yossarian - Szczawiożerca

Re: Zamknięcie użytkownika w jego katalogu

Kod:

#12 2016-01-22 13:04:31

tajwan - boss

Re: Zamknięcie użytkownika w jego katalogu

#13 2016-01-22 13:08:10

ethanak - Użytkownik

Re: Zamknięcie użytkownika w jego katalogu

#14 2016-01-22 13:11:16

tajwan - boss

Re: Zamknięcie użytkownika w jego katalogu

#15 2016-01-22 13:29:25

ethanak - Użytkownik

Re: Zamknięcie użytkownika w jego katalogu

#16 2016-01-22 13:38:12

tajwan - boss

Re: Zamknięcie użytkownika w jego katalogu

#17 2016-01-22 13:45:05

ethanak - Użytkownik

Re: Zamknięcie użytkownika w jego katalogu

#18 2016-01-22 13:48:46

uzytkownikubunt - Zbanowany

Re: Zamknięcie użytkownika w jego katalogu

#19 2016-01-22 13:57:31

tajwan - boss

Re: Zamknięcie użytkownika w jego katalogu

#20 2016-01-22 14:02:46

ethanak - Użytkownik

Re: Zamknięcie użytkownika w jego katalogu

Kod:

#21 2016-01-22 14:11:13

thalcave - prawie jak admin

Re: Zamknięcie użytkownika w jego katalogu

Kod:

#22 2016-01-22 14:31:56

tajwan - boss

Re: Zamknięcie użytkownika w jego katalogu