Re: SSH2 & Restricted Shell ?

To: debian-russian@lists.debian.org
Cc: Debian Russian <debian-russian@lists.debian.org>
Subject: Re: SSH2 & Restricted Shell ?
From: Alexei Khlebnikov <khlebnikov@scnsoft.com>
Date: Fri, 24 Aug 2001 11:06:03 +0300
Message-id: <3B860AEB.48CCB1A8@scnsoft.com>
References: <1296417557.20010822185137@festart.ee> <3B850EC7.4B541CE1@scnsoft.com> <3B8524EB.4040802@pisem.net> <3B8525E9.97FBC676@scnsoft.com> <3B852C31.1070101@pisem.net> <20010823204303.A23733@yp.ru> <3B853624.3010102@pisem.net>

CuPoTKa wrote:

> Хотя если лузер способен написать скриптину то он обойдет все restrictions.
> Есть еще идеи у народа как сделать, чтоб лузер не вылезал из своего home?

Можно поместить его в chrooted окружение (man chroot). Только надо у него в
хоуме воссоздать всю структуру корневого каталога. Это сделать не так сложно,
как кажется. Надо сделать в его жесткие ссылки на все файлы, которые нужны ему
для работы. Этих файлов достаточно много, именно поэтому лучше сделать жесткие
ссылки, а не копировать эти файлы в каждый хоум. Все нужные ему файлы должны
быть на той же файловой системе, что и его хоум. Если у тебя на винчестере один
раздел "/", проблем быть не должно. Иначе, надо завести какого-то левого юзера в
той же файловой системе и все нужные файлы туда ему скопировать. И потом делать
жесткие ссылки на эти скопированные файлы.
Вот, например, скрипт для создания жестких ссылок на все файлы из /bin (без
рекурсии):
===
#!/bin/bash

mkdir /home/vasya/bin
for each_file in `ls -a /bin`; do
if [ ! -d $each_file ]; then
ln $each_file /home/vasya/$each_file;
fi;
done;
===
Конечно, придется попотеть. Надо будет решить, какие файлы юзеру нужны. Не
забыть про /var/mail/vasya, /dev/null. Зато из chroot'a юзер ну никак не
вырвется (только если сломает что-то суидное у себя в chroot'e).
Надо еще в ftp-демоне прописать, что он анонимус, это тоже удержит его в своем
хоуме.

Но задумайся, так ли это все надо? Пусть юзеры ходят лучше куда хотят. Можно
комп засунуть в сейф и в землю зарыть - тогда его никто не взломает кроме
кротов. Дебиан создавался для реализации людских возможностей, а не для их
запретов. Это единственный известный мне дистрибут, где хоумы создаются с
правами -rwxr-xr-x, и я считаю, это правильно. Надо по умолчанию делиться
информацией, а не закрывать ее. Ты думаешь, почему в каталоге /bin, например,
файлы открыты на чтение? Юзерам ведь не нужно бинарники читать, достаточно бита
+х. Может я тебе подсказал хорошую идею и ты хочешь снять +r оттуда? "А вдруг
они возьмут отладчик, проведут reverse engineering, найдут баг и все нахрен
сломают?" Надо другими методами систему защищать. Она по умолчанию и так
достаточно хорошо защищена. На то и юникс.

Reply to:

Follow-Ups:
- Re: SSH2 & Restricted Shell ?
  - From: Michael Vlasov <misha@matrix.ru>
- Re: SSH2 & Restricted Shell ?
  - From: Growler@tula.net (Alexey V. Naidyonov)

References:
- SSH2 & Restricted Shell ?
  - From: Dmitry Korotkov <korotkov@festart.ee>
- Re: SSH2 & Restricted Shell ?
  - From: Alexei Khlebnikov <khlebnikov@scnsoft.com>
- Re: SSH2 & Restricted Shell ?
  - From: Alexei Khlebnikov <khlebnikov@scnsoft.com>
- Re: SSH2 & Restricted Shell ?
  - From: CuPoTKa <cupotka@pisem.net>
- Re: SSH2 & Restricted Shell ?
  - From: Nick Potemkin <nick@yp.ru>
- Re: SSH2 & Restricted Shell ?
  - From: CuPoTKa <cupotka@pisem.net>

Prev by Date: Re: qmail
Next by Date: Re: SSH2 & Restricted Shell ?
Previous by thread: Re: SSH2 & Restricted Shell ?
Next by thread: Re: SSH2 & Restricted Shell ?
Index(es):
- Date
- Thread