Re: [Debian]:restricted Shell

To: Debian-User-de <debian-user-de@jfl.de>
Subject: Re: [Debian]:restricted Shell
From: Marko Schulz <in6x059@public.uni-hamburg.de>
Date: Wed, 25 Aug 1999 10:15:52 +0200
Message-id: <19990825101551.A855@rincewind.informatik.uni-hamburg.de>
Mail-followup-to: Debian-User-de <debian-user-de@jfl.de>
Reply-to: Marko Schulz <4mschulz@informatik.uni-hamburg.de>
In-reply-to: <19990824030229.A27314@little.skynet.de>; from Dennis Konert on Tue, Aug 24, 1999 at 03:02:29AM +0200
References: <m11HUYR-001V4EC@mail.lehmanns.de> <19990819221728.I28918@earth.zuhause.de> <19990824030229.A27314@little.skynet.de>

On Tue, Aug 24, 1999 at 03:02:29AM +0200, Dennis Konert wrote:
> On Thu, Aug 19, 1999 at 10:17:29PM +0200, Jens Benecke wrote:
> 
> > > Kann ich einen User in seinem Homeverzeichnis einsperren? Gewisse
> > > Programme muss er aber ausführen können, wie perl, gcc, vi (schauder),
> > > etc.
> > entweder chroot und _alles_ in seinem ~/bin, ~/lib etc. klonen. Oder
> > 'rbash' statt 'bash' ( == bash -r ) als Shell benutzen. man bash, suche:
> > restricted
> > Das hindert ihn aber nicht daran, z.B. mc aufzurufen und mit dem in
> > Verzeichnisse reinzugucken.
> 
> Irgendwie bringt die rbash alleine so ziemlich garnichts. Wenn man den
> PATH nicht anpaßt, kann der user "bash" o.ä. starten. Dann sollte man
> den mc eigentlich auch sperren, man gehe mit dem mc zB nach /sbin und
> drücke enter z.B. auf fdisk. Klar, das programm kann man nicht
> benutzen, aber es kann "gestartet" werden. Ohne mc nicht möglich, da
> /sbin/fdisk nicht legal ist und fdisk ansich nicht im pfad ist.

Mit vielen anderen Programmen ist es ähnlich. Von perl aus kann man
alles aufrufen was man will, wenn man mit gcc etwas compilieren kann,
kann man dort auch den wildesten Unfug treiben, aus vielen Editoren
kann man shells und ähnliches starten...

chroot scheint die wesentlich bessere Lösung zu sein, _wenn_ man das
wirklich will. Was hat man davon? Security through obscurity? Wohl
kaum.
 
> Hat jemand schonmal mit rbash sein system dicht genagelt? Oder ist das
> einzigst sinnvolle wirklich ein chroot?

Mir scheint rbash nur für einen wirklich _sehr_ kastrierten User
nützlich. Etwa ein Gast-Account, mit dem man nur eine kleine Anzahl an
vorgefertigten Customcommands aufrufen kann, um etwa festzustellen wie
spät es ist, wo sich User X gerade befindet  etc. .

-- 
marko schulz

              "Alles hat man herausgefunden, nur nicht, wie man lebt"
                                                         Jean Paul Sartre
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     695

Reply to:

References:
- [Debian]:restricted Shell
  - From: "O.l.i.v.e.r T.h.u.n.s" <oliver.thuns@gmx.de>
- Re: [Debian]:restricted Shell
  - From: Jens Benecke <jens@pinguin.conetix.de>
- Re: [Debian]:restricted Shell
  - From: Dennis Konert <d.konert@maXou-online.de>

Prev by Date: Re: [Debian]:Mailer Client 2??
Next by Date: [Debian]:Re: [Debian]:SCSI-Geraäte nachträglich einschalten
Previous by thread: Re: [Debian]:restricted Shell
Next by thread: Re: [Debian]:restricted Shell
Index(es):
- Date
- Thread