Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-07-12 22:52:54

  dadexix - Użytkownik

dadexix
Użytkownik
Zarejestrowany: 2008-05-05

Powłoka ssh oraz pytanie o telnet

Witam, mam dwa potyania
Czy jest możlwość udostępnienia shell'a userowi ale tak by nie mógł dotykać określonego katalogu w katalogu domowym?
/home/user ma katalogi
a, b, c,
Dla usera o nazwie "user" ma nie istnieć katalog "c".
Pytanie na en temat również takie, jakiej powłoki wybrać by było najbezpieczniej dla systemu? najlepiej by dla usera ~ = /, jego katalog domowy to jedyny(jak w ftp)
Zbytnio na tym się nie znam, nigdy takich potrzeb nie miałem...



Pytanie dwa, na serverze dedykowanym ni z tego ni z owego siadł mi ssh, kazde poloczenie do ssh - "polaczenie odrzucone"... trzeba było usługę zrestartować, jednyne wyjście to reset "ręczny"(odcięcie zasilania) servera ponieważ nie mogłem się w żaden sposób do niego dostać(na szczęście u mnie takie rzeczy działają automatycznie)

I tu pytanie - czy jeśli bym zainstalował telnet to czy w takich sytuacjach on by mi pomógł(a nie zaszkodził - uszczerbiając bezpieczeństwo?) Czy to dobre rozwiązanie? oczywiście telnetu używać tylko gdy ssh mi padnie i tylko by postawić...?

Pozdrawiam

Offline

 

#2  2008-07-13 02:26:46

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Powłoka ssh oraz pytanie o telnet

nowsze wersje sshd maja (podobno) opcje jail'owania wskazanych uzytkownikow ktorym udostepniamy sftp (rozumiem ze o to chodzi bo jezeli ma byc to dostep przez powloke to aby mial on sens powinien byc jakis dostep do uruchamianych pogramow)

co do dedyka to dowiedz sie czy nie ofweruja oni dostepu z jakiejs swojej maszyny do portu szeregowego twojego dedyka - wtedy wystawiasz sobie getty na port szeregowy ... co do telnetu to jezeli nie bedzie uzywany (i nie bedzie w nim dziury) to jakos bardzo nie naraza systemu (tytlko dodatkowa usluga sluchajaca na jakims porcie)

edit:
przyszlo mi jeszcze ze tego ograniczonego ssh chesz uzywac do puszczania jakiejs uslugi (np. svn) - wtedy mozesz zrobic autoryzacje kluczami (uzytkownik bez mozliwosci logowania sie haslem) i w pliku authorized_keys ograniczyc zarejestrowany klucz tylko do jednej komendy ... BTW napisz dokladniej czemu ma sluzyc ten ograniczony dostep - bedzie latwiej doradzic ...

Ostatnio edytowany przez bercik (2008-07-13 02:30:14)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#3  2008-07-13 05:22:02

  dadexix - Użytkownik

dadexix
Użytkownik
Zarejestrowany: 2008-05-05

Re: Powłoka ssh oraz pytanie o telnet

dzięki wielkie, lecz telnet i brak dziur to dla mnie czarna magia, nie uzywalem telnetu i nie wiem jakie w ogole dziury byc mogą ale poszukam google nie boli:)

A co do ssh... no to tak, zależy mi na corn, apsy zamkają się po rozłączeniu, ograniczenie takich rzeczy appsów jak menadżer bibliotek pear czy precl itd. itp...:], tylko ważne dla mnie to by gdy ktoś daje ls - danego katalogu ma nie być, gdy daje cd katalog - dostaje "nie ma takiego katalogu":) niby łatwiej zmienić uprawnienia ale właścicel musi byc ten sam:)

Offline

 

#4  2008-07-13 11:54:36

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Powłoka ssh oraz pytanie o telnet

dosc ciezka sprawa bo (o ile dobrze rozumiem*) chesz udostepniac aplikacje, ale tak zeby ich nie bylo widac ... jedyne co mi przychodzi to zrobic prawdziwego jaila (lub jakiegos "na sterydach" - Linux-VServer / OpenVZ) i udostepnic userom tylko niezbedne do ich dzialania pliki ...

* chyba ze sie myle i chodzi o zablokowanie pewnych podkatalogow w /home

PS osobiscie nie widze wiekszego sensu w zabranianiu userom przegladnia rzeczy tkich jak /usr /bin czy /etc (tu jest kilka rzeczy ktorych ogladac nie powinni, ale to zalatwiaja prawa dostepu) ... no chyba ze bardzo, ale to bardzo nie ufasz swoim userom (ale wtedy nie dawalbym im shella)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.015 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00017 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00213 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='54.205.238.173' WHERE u.id=1
0.00151 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '54.205.238.173', 1711631606)
0.00087 SELECT * FROM punbb_online WHERE logged<1711631306
0.00124 SELECT topic_id FROM punbb_posts WHERE id=94525
0.00142 SELECT id FROM punbb_posts WHERE topic_id=11831 ORDER BY posted
0.00197 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=11831 AND t.moved_to IS NULL
0.00008 SELECT search_for, replace_with FROM punbb_censoring
0.00148 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=11831 ORDER BY p.id LIMIT 0,25
0.00121 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=11831
Total query time: 0.01214 s