Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam, mam dwa potyania
Czy jest możlwość udostępnienia shell'a userowi ale tak by nie mógł dotykać określonego katalogu w katalogu domowym?
/home/user ma katalogi
a, b, c,
Dla usera o nazwie "user" ma nie istnieć katalog "c".
Pytanie na en temat również takie, jakiej powłoki wybrać by było najbezpieczniej dla systemu? najlepiej by dla usera ~ = /, jego katalog domowy to jedyny(jak w ftp)
Zbytnio na tym się nie znam, nigdy takich potrzeb nie miałem...
Pytanie dwa, na serverze dedykowanym ni z tego ni z owego siadł mi ssh, kazde poloczenie do ssh - "polaczenie odrzucone"... trzeba było usługę zrestartować, jednyne wyjście to reset "ręczny"(odcięcie zasilania) servera ponieważ nie mogłem się w żaden sposób do niego dostać(na szczęście u mnie takie rzeczy działają automatycznie)
I tu pytanie - czy jeśli bym zainstalował telnet to czy w takich sytuacjach on by mi pomógł(a nie zaszkodził - uszczerbiając bezpieczeństwo?) Czy to dobre rozwiązanie? oczywiście telnetu używać tylko gdy ssh mi padnie i tylko by postawić...?
Pozdrawiam
Offline
nowsze wersje sshd maja (podobno) opcje jail'owania wskazanych uzytkownikow ktorym udostepniamy sftp (rozumiem ze o to chodzi bo jezeli ma byc to dostep przez powloke to aby mial on sens powinien byc jakis dostep do uruchamianych pogramow)
co do dedyka to dowiedz sie czy nie ofweruja oni dostepu z jakiejs swojej maszyny do portu szeregowego twojego dedyka - wtedy wystawiasz sobie getty na port szeregowy ... co do telnetu to jezeli nie bedzie uzywany (i nie bedzie w nim dziury) to jakos bardzo nie naraza systemu (tytlko dodatkowa usluga sluchajaca na jakims porcie)
edit:
przyszlo mi jeszcze ze tego ograniczonego ssh chesz uzywac do puszczania jakiejs uslugi (np. svn) - wtedy mozesz zrobic autoryzacje kluczami (uzytkownik bez mozliwosci logowania sie haslem) i w pliku authorized_keys ograniczyc zarejestrowany klucz tylko do jednej komendy ... BTW napisz dokladniej czemu ma sluzyc ten ograniczony dostep - bedzie latwiej doradzic ...
Ostatnio edytowany przez bercik (2008-07-13 02:30:14)
Offline
dzięki wielkie, lecz telnet i brak dziur to dla mnie czarna magia, nie uzywalem telnetu i nie wiem jakie w ogole dziury byc mogą ale poszukam google nie boli:)
A co do ssh... no to tak, zależy mi na corn, apsy zamkają się po rozłączeniu, ograniczenie takich rzeczy appsów jak menadżer bibliotek pear czy precl itd. itp...:], tylko ważne dla mnie to by gdy ktoś daje ls - danego katalogu ma nie być, gdy daje cd katalog - dostaje "nie ma takiego katalogu":) niby łatwiej zmienić uprawnienia ale właścicel musi byc ten sam:)
Offline
dosc ciezka sprawa bo (o ile dobrze rozumiem*) chesz udostepniac aplikacje, ale tak zeby ich nie bylo widac ... jedyne co mi przychodzi to zrobic prawdziwego jaila (lub jakiegos "na sterydach" - Linux-VServer / OpenVZ) i udostepnic userom tylko niezbedne do ich dzialania pliki ...
* chyba ze sie myle i chodzi o zablokowanie pewnych podkatalogow w /home
PS osobiscie nie widze wiekszego sensu w zabranianiu userom przegladnia rzeczy tkich jak /usr /bin czy /etc (tu jest kilka rzeczy ktorych ogladac nie powinni, ale to zalatwiaja prawa dostepu) ... no chyba ze bardzo, ale to bardzo nie ufasz swoim userom (ale wtedy nie dawalbym im shella)
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00091 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.149.251.155' WHERE u.id=1 |
0.00067 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.149.251.155', 1714270276) |
0.00045 | SELECT * FROM punbb_online WHERE logged<1714269976 |
0.00043 | SELECT topic_id FROM punbb_posts WHERE id=94522 |
0.00067 | SELECT id FROM punbb_posts WHERE topic_id=11831 ORDER BY posted |
0.00061 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11831 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00073 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11831 ORDER BY p.id LIMIT 0,25 |
0.00080 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11831 |
Total query time: 0.00546 s |