Re: SSH2 & Restricted Shell ?
CuPoTKa wrote:
> >>>> Нужно, чтобы пользователи через SSH или SFTP не могли подняться выше
> >>>> своего HOME.
> >>>> Какие могут быть решения ?
> >>>> В коммерческом SSHе если статически собирать демон, то можно в
> >>>> настройках сервера указывать, что определенные усеры обделены...
> >>>> И всё будет как надо (я так понял из документации)
> >>>>
> >>>> А что делать в моём случае ? проблема-то широкая имхо, многие
> >>>> наверное сталкивались ? Может какой-нить рестрикнутый шелл этим
> >>>> усерам нужен ?
> >>>>
> >>>Может "bash --restricted" подойдет?
> >>>
> >>Ага меня тоже гложет вопрост как бы сделать так, чтоб шаловливые юзеры
> >>не лазиле по машине. rbash вроде для этих целей подходит. Прочел man
> >>bash (только нужную часть конечно :) а то он ну оооооооочень длинный).
> >>Может быть заодно подскажите где именно задать чтоб у юзера был не
> >>просто bash а rbash?
> >>
> >
> >Дык вроде очевидно: в /etc/passwd.
> >Можно еще команду chsh запретить.
> >
> Вы уж извините за навязчивозть, но я так сказать еще учусь. Про
> /etc/passwd понял.
> А как запретить chsh и заодно mc, которая оказывается позволяет лузеру
> путешествовать где хочет, несмотря на rbash.
Например так:
===
addgroup Ly3ep
chgrp Ly3ep `which chsh` `which mc`
chmod g-rwx `which chsh` `which mc`
adduser vasya Ly3ep
adduser petya Ly3ep
adduser existing_user_number_999 Ly3ep
===
> Может есть еще что-нибудь
> такое, что поможет шаловливому лузеру обойти restriction?
Конечно! Он может:
1) Запустить обычный bash или другой шелл.
2) Скачать сырцы bash, скомпилировать их (ох и трудно ему будет без значка '/'
;).
3) Скомпилировать bash на другой машине, слинковать статически, принести
результат на эту машину, запустить.
4) Скомпилировать другой шелл или mc.
5) Написать и скомпилировать свою прогу, которая будет читать файлы там, где ему
надо.
6) Да мало ли еще что.
Reply to: