Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2013-08-29 21:31:08

  hardek - Użytkownik

hardek
Użytkownik
Zarejestrowany: 2011-03-16

lshell + ssh

Witam!

Posiadam serwer z zainstalowanym Debianem Wheezy. Na tym serwerze usiłuje stworzyć użytkowników, którzy nie bedą mieli pełnego dostępu do systemu. Zainstalowałem więc lshell, który moim zdaniem idelanie się do tego nadaje, lecz niestety do pełni szczęścia brakuje mi jednej rzeczy. Mianowicie, po odpowiednim skonfigurowaniu limit shell'a mogę lokalnie zalogować się na danego użytkownika posiadającego ustawione przez mnie ograniczenia, ale już przez SSH nie. Po zaakceptowaniu hasła sesja odrazu jest zamykana z błędem:

Kod:

/usr/bin/lshell: No such file or directory

W logu auth.log jest tylko informacja o otwarciu i zamknięciu połączenia SSH bez żadnych błędów. Podejrzewam, że jest to kwestia konfiguracji SSH lub PAM. Szukałem rozwiązania mojego problemu, lecz niestety nigdzie nie znalazłem. Pomożecie?

Ostatnio edytowany przez hardek (2013-08-29 21:32:53)

Offline

 

#2  2013-08-30 00:19:23

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: lshell + ssh

Do /etc/shells kolega lshella dopisał?

Dodatkowo kolega testował pod kątem podatności opisanych tutaj?

http://www.aldeid.com/wiki/Lshell

Ostatnio edytowany przez enether (2013-08-30 00:21:32)

Offline

 

#3  2013-08-30 01:07:56

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: lshell + ssh

Ja bym zrobił np drugą wersję basha, a potem binarkę tego drugiego basha obciął profilem apparmora, aby miał dostęp tylko do wybranych poleceń.
Mógły wtedy być np obcięty do bólu /bin/bash i mający pełne możliwości /sbin/bash - specjalnie dla roota, albo na odwrót.
Inna opcja (lepsza), to grsecurirty ACL - rola default, albo np chrooty dla pacjentów.

Albo wszystko na raz. :D

Ostatnio edytowany przez Jacekalex (2013-08-30 01:15:39)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2013-08-30 01:43:32

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: lshell + ssh

A tam chrooty, LXC im od razu per user zrobić ;)

Swoją drogą szanowny kolego Jacku, masz może pod ręką coś tyczącego się łączenia Debiana z AppArmorem?

Offline

 

#5  2013-08-30 02:26:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: lshell + ssh

W Gentusiu chodzi, z ta różnicą, ze do działania Apparmora potrzebna jest łatka Grsecurity.
Dlaczego?
Userspace, nawet w wersji 2.8.1 - zainstalowane, wymaga w jaju trybu kompatybilności z wersją AA -2.4, której to latki w jaju nie ma, i nie było.
Skąd ją biorę?

Kod:

grep -i apparmor  /usr/src/patch3109/grsecurity-2.9.1-3.10.9-201308202015.patch | grep 24
+config SECURITY_APPARMOR_COMPAT_24
+#ifdef CONFIG_SECURITY_APPARMOR_COMPAT_24
+#endif /* CONFIG_SECURITY_APPARMOR_COMPAT_24 */
+#ifdef CONFIG_SECURITY_APPARMOR_COMPAT_24

Otóż łatka grsec jest jedynym obecnie znanym mi miejscem, gdzie można znaleźć zaginioną łatkę apparmor_compat_24 na jajo np 3.10.9, co mnie mocno zdziwiło, ale nie zmartwiło bynajmniej. :D

Reszta?
https://wiki.debian.org/AppArmor
https://wiki.debian.org/AppArmor/HowTo
https://wiki.debian.org/AppArmor/Contribute
http://wiki.apparmor.net/index.php/Distro_debian

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-08-30 02:27:47)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.007 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00091 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.85.74' WHERE u.id=1
0.00082 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.85.74', 1732446815)
0.00041 SELECT * FROM punbb_online WHERE logged<1732446515
0.00042 SELECT topic_id FROM punbb_posts WHERE id=239725
0.00008 SELECT id FROM punbb_posts WHERE topic_id=24161 ORDER BY posted
0.00048 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24161 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00076 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24161 ORDER BY p.id LIMIT 0,25
0.00081 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24161
Total query time: 0.0049 s