Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam!
Posiadam serwer z zainstalowanym Debianem Wheezy. Na tym serwerze usiłuje stworzyć użytkowników, którzy nie bedą mieli pełnego dostępu do systemu. Zainstalowałem więc lshell, który moim zdaniem idelanie się do tego nadaje, lecz niestety do pełni szczęścia brakuje mi jednej rzeczy. Mianowicie, po odpowiednim skonfigurowaniu limit shell'a mogę lokalnie zalogować się na danego użytkownika posiadającego ustawione przez mnie ograniczenia, ale już przez SSH nie. Po zaakceptowaniu hasła sesja odrazu jest zamykana z błędem:
/usr/bin/lshell: No such file or directory
W logu auth.log jest tylko informacja o otwarciu i zamknięciu połączenia SSH bez żadnych błędów. Podejrzewam, że jest to kwestia konfiguracji SSH lub PAM. Szukałem rozwiązania mojego problemu, lecz niestety nigdzie nie znalazłem. Pomożecie?
Ostatnio edytowany przez hardek (2013-08-29 21:32:53)
Offline
Do /etc/shells kolega lshella dopisał?
Dodatkowo kolega testował pod kątem podatności opisanych tutaj?
http://www.aldeid.com/wiki/Lshell
Ostatnio edytowany przez enether (2013-08-30 00:21:32)
Offline
Ja bym zrobił np drugą wersję basha, a potem binarkę tego drugiego basha obciął profilem apparmora, aby miał dostęp tylko do wybranych poleceń.
Mógły wtedy być np obcięty do bólu /bin/bash i mający pełne możliwości /sbin/bash - specjalnie dla roota, albo na odwrót.
Inna opcja (lepsza), to grsecurirty ACL - rola default, albo np chrooty dla pacjentów.
Albo wszystko na raz. :D
Ostatnio edytowany przez Jacekalex (2013-08-30 01:15:39)
Offline
A tam chrooty, LXC im od razu per user zrobić ;)
Swoją drogą szanowny kolego Jacku, masz może pod ręką coś tyczącego się łączenia Debiana z AppArmorem?
Offline
W Gentusiu chodzi, z ta różnicą, ze do działania Apparmora potrzebna jest łatka Grsecurity.
Dlaczego?
Userspace, nawet w wersji 2.8.1 - zainstalowane, wymaga w jaju trybu kompatybilności z wersją AA -2.4, której to latki w jaju nie ma, i nie było.
Skąd ją biorę?
grep -i apparmor /usr/src/patch3109/grsecurity-2.9.1-3.10.9-201308202015.patch | grep 24 +config SECURITY_APPARMOR_COMPAT_24 +#ifdef CONFIG_SECURITY_APPARMOR_COMPAT_24 +#endif /* CONFIG_SECURITY_APPARMOR_COMPAT_24 */ +#ifdef CONFIG_SECURITY_APPARMOR_COMPAT_24
Otóż łatka grsec jest jedynym obecnie znanym mi miejscem, gdzie można znaleźć zaginioną łatkę apparmor_compat_24 na jajo np 3.10.9, co mnie mocno zdziwiło, ale nie zmartwiło bynajmniej. :D
Reszta?
https://wiki.debian.org/AppArmor
https://wiki.debian.org/AppArmor/HowTo
https://wiki.debian.org/AppArmor/Contribute
http://wiki.apparmor.net/index.php/Distro_debian
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-08-30 02:27:47)
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00084 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.119.19.205' WHERE u.id=1 |
0.00061 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.119.19.205', 1732764562) |
0.00056 | SELECT * FROM punbb_online WHERE logged<1732764262 |
0.00052 | DELETE FROM punbb_online WHERE ident='18.117.106.23' |
0.00048 | DELETE FROM punbb_online WHERE ident='18.188.205.95' |
0.00057 | DELETE FROM punbb_online WHERE ident='18.188.91.223' |
0.00059 | DELETE FROM punbb_online WHERE ident='18.191.97.229' |
0.00057 | DELETE FROM punbb_online WHERE ident='3.138.134.221' |
0.00062 | DELETE FROM punbb_online WHERE ident='3.147.104.18' |
0.00076 | DELETE FROM punbb_online WHERE ident='3.15.203.246' |
0.00074 | SELECT topic_id FROM punbb_posts WHERE id=239727 |
0.00075 | SELECT id FROM punbb_posts WHERE topic_id=24161 ORDER BY posted |
0.00062 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24161 AND t.moved_to IS NULL |
0.00004 | SELECT search_for, replace_with FROM punbb_censoring |
0.00074 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24161 ORDER BY p.id LIMIT 0,25 |
0.00072 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24161 |
Total query time: 0.00987 s |