Autor Téma: "Home vo vezeni"  (Přečteno 3028 krát)

Offline Erich Stark

  • Aktivní­ uživatel
  • ****
  • Příspěvků: 546
    • Zobrazit profil
"Home vo vezeni"
« kdy: 12. 11. 2009, 17:52:33 »
Zdravim, potreboval by som pomoct s tym ze ked niekomu vytvaram home na mojom serveri je to urcite bezpecnejsie ako nejaky ftp server..ale chcel by som sa spytat ci by sa to dalo vytvorit aj tak aby nic ine okrem svojho priecinku nevidel..
" The box said that I needed to have Windows XP or better ... so I installed Debian ."

Offline pakanek

  • Začátečník
  • **
  • Příspěvků: 30
    • Zobrazit profil
Re: "Home vo vezeni"
« Odpověď #1 kdy: 18. 12. 2009, 11:32:59 »
chmod o-rxw popř. acl?
Pomník: vzpomněl, připomněl, zapomněl.

Offline Tomas Jancik

  • Začátečník
  • **
  • Příspěvků: 124
    • Zobrazit profil
    • TomasJancik.net
  • Jabber: t.jancik@jabber.org
Re: "Home vo vezeni"
« Odpověď #2 kdy: 18. 12. 2009, 19:29:37 »
chmod o-rxw popř. acl?

tohle by zamezilo pristupu ostatnich uzivatelu do tohoto adresare... otazka ale znela pravdepodobne jak zamezit uzivateli aby pristupoval kamkoliv jinam krome sveho domovskeho adresare...

Offline Ahmul

  • Začátečník
  • **
  • Příspěvků: 42
    • Zobrazit profil
Re: "Home vo vezeni"
« Odpověď #3 kdy: 19. 12. 2009, 08:08:43 »
Co jako login shell dát chrootovací program? Popř zařídit něco podobného přes PAM. Na druhou stranu to bude znamenat, že bude muset mít ve svém homu adresáře jako /bin, /lib, /usr/lib, ... (nebo mít home nějak takhle /home/honza_chroot/home.

Každopádně je otázkou proč zrovna chroot? To tak nevěříte nastavení práv v systému, že by mohl způsobit škodu jen spuštěním "rm -Rf /" ? Pokud tomu člověku navíc ani nevěříte, tak ssh přístup je dost nebezpečný. Musel byste mít jistotu, že všechny budoucí root exploity do jádra budete řešit v co nejkratší době updatem jádra.

Pokud už člověku nevěříte, tak mu dejte rovnou celý virtuální server a přes nfs mu namountujte potřebné data.

Offline Erich Stark

  • Aktivní­ uživatel
  • ****
  • Příspěvků: 546
    • Zobrazit profil
Re: "Home vo vezeni"
« Odpověď #4 kdy: 19. 12. 2009, 17:44:57 »
Co jako login shell dát chrootovací program? Popř zařídit něco podobného přes PAM. Na druhou stranu to bude znamenat, že bude muset mít ve svém homu adresáře jako /bin, /lib, /usr/lib, ... (nebo mít home nějak takhle /home/honza_chroot/home.

Každopádně je otázkou proč zrovna chroot? To tak nevěříte nastavení práv v systému, že by mohl způsobit škodu jen spuštěním "rm -Rf /" ? Pokud tomu člověku navíc ani nevěříte, tak ssh přístup je dost nebezpečný. Musel byste mít jistotu, že všechny budoucí root exploity do jádra budete řešit v co nejkratší době updatem jádra.

Pokud už člověku nevěříte, tak mu dejte rovnou celý virtuální server a přes nfs mu namountujte potřebné data.

neskor sem hodin navod ako sa mi to podarilo, cez tzv jailkit, ale neni to prave orechove, lebo tam ma celu adresarovu strukturu nakopirovanu, chcel som aby videl len /home/martin/home
A chroot ma zaujimal aj preto lebo po nete som cital o nejakych "shell kontach" ktore som sa chcel naucit spravit :)
" The box said that I needed to have Windows XP or better ... so I installed Debian ."

Offline nettezzaumana

  • Začátečník
  • **
  • Příspěvků: 43
  • skill :: LoLíííííkkk
    • Zobrazit profil
Re: "Home vo vezeni"
« Odpověď #5 kdy: 22. 12. 2009, 10:17:49 »
hmm. to je stale dokola .. evidentne nerozumis zakladnimu principu operacniho systemu

neni mozne, aby uzivatel videl jen do sveho $HOME !!

Offline Jakub Lucký

  • Uživatel
  • ***
  • Příspěvků: 198
    • Zobrazit profil
    • Skautský oddíl CXL - Praha 4
Re: "Home vo vezeni"
« Odpověď #6 kdy: 27. 01. 2010, 16:21:37 »
Jedině chrootované sshd
Developers, developers, developers, developers, developers!