| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| User z minimalnymi prawami http://forum.freesco.pl/viewtopic.php?f=22&t=10165 |
Strona 1 z 1 |
| Autor: | Bolo_B [ wtorek, 6 grudnia 2005, 12:39 ] |
| Tytuł: | User z minimalnymi prawami |
Jak zawsze znow bede nawiazywal do ssh. Otorz jak skonfigurowac usera aby mial minimalne prawa dostepu do danych jednak musi sie zalogowac /bin/false w pliku hasel zatem nie wchodzi w gre. Konto ma sluzyc tylko po to aby sie zalogowac i postawic tunel. Nie chce aby user buszowal mi po zasobach i plikach konfiguracyjnych 
|
|
| Autor: | Bolo_B [ wtorek, 6 grudnia 2005, 13:50 ] |
| Tytuł: | |
Jeszcze jedno a nie bede pisal nowego watku. Czy user nobody ma jakies inne ustawienia od wszystkich, tzn czy na jego konto mozna sie zalogowac jak nie ma w pliku passwd /bin/false albo przejsc z jednego usera za pomoca su na nobody? Chodzi o to ze glupie PHP ma swietny mechanizm obslugi sesji jednak majacy powazna wade. Jego pliki wedruja do jakiegos katalogu jaki ustawi sie w php.ini. No i tam sa wszystkie zmienne sesyjne oczywiscie nie szyfrowane (nawet jakby byly to by musial byd dekoder wiec ograniczalo by to dostep dla gora 10% debili). Niektorzy zatem trzymaja sesje w bazach danych ale wtedy trzeba napisac mini skrypt aby sie z nia polaczyc oczywiscie wymagajacy hasla wiec spara rozbija sie o kant d... . Z reszta mechanizmy zabezpieczenia hasel w samym mysql sa lepsze niz to co oferuja systemy skryptow jakie uzywaja portale i fora. W moim przypadku PHP to tylko nakladka do bazy majaca ulatwic zycie userom. Wole rozdawac hasla i konta do mysql niz stosowac jakies sztuczki z glownym haslem do bazy danych ktore oczywiscie siedzi w skryptcie php a samo php reguluje prawa poprzez hasla w innej bazie do ktorej dostep tez jest poprzez haslo w skryptcie. Zawsze mozna podgladnac haslo i sie zalogowac do bazy z haslami i pokasowac wszystkie pola, lub bezposrednio zalogowac sie do glownej bazy danych. Od strony internetu jest to oczywiscie trudne do zrealizowania ale jak ktos ma dostep poprzez schela to spawa zaczyna smierdziec. |
|
| Autor: | MAC!EK [ środa, 7 grudnia 2005, 15:45 ] |
| Tytuł: | |
Bolo_B pisze: Jeszcze jedno a nie bede pisal nowego watku. Czy user nobody ma jakies inne ustawienia od wszystkich, tzn czy na jego konto mozna sie zalogowac jak nie ma w pliku passwd /bin/false albo przejsc z jednego usera za pomoca su na nobody?
W standardzie dla nobody nie ma hasła, czyli z usera innego niż root się przez su nie dostaniesz na to konto. |
|
| Autor: | Bolo_B [ środa, 7 grudnia 2005, 19:18 ] |
| Tytuł: | |
Mam nadzieje ze w takim razie katalog do ktorego ma prawa rwx------ user nobody nikt inny sie nie dostanie oprocz nobody. Oczywiscie katalog ten nie wchodzi w zakres katalogu document root dla apache
|
|
| Autor: | Luc3k [ piątek, 13 stycznia 2006, 11:00 ] |
| Tytuł: | |
Pociagne troszke temat zmieniajac troszke jego tresc, mianowicie czy znacie sposob na uzyskanie ponizszego efektu: zakladam konto na serwerze (adduser), jaki chce osiagnac efekt? Aby uzytkownik posiadajacy to konto nie mogl wyjsc poza obreb swojego katalogu /home/newuser podgladajac tym samym ustawien serwera itp. Czy da sie to osiagnac ustawiajac odpowiednie prawa, jesli tak to jaki czy w jakis inny sposob? |
|
| Autor: | Maciek [ piątek, 13 stycznia 2006, 14:01 ] |
| Tytuł: | |
SSH umożliwia prace w shellu, nie ma możliwości ograniczenia mu zakresu działań poza systemowymi (np. nie zobaczy /etc/shadow, Nie zobaczy zawartości katalogu innego usera, roota, nie będzie mógł edytowac żadnego pliku, który nie jest jego własnością...). Są oczywiscie mechanizmy ograniczające usera do jego własnego środowiska w katalogu domowym (jest ono wówczas najczęściej zubożone przez admina) - o ile pamiętam nazywał się ten mechanizm - jail. Jego zastosowanie jest możliwe dla pewnych demonów (np. serwer www), ale także dla pojedynczego użytkownika. są to jednak rozwiązania dość skomplikowane i nie mające sensu w odniesieniu do małych sieci, w których admin zna użytkowników. Zasadą którą sugerujemy w NND - nie dawać shella nikomu bez wyraźnej potrzeby. I jeszcze jedno - zwykły użytkownik nie "namiesza" nic... - nie zrebootuje i nie zatrzyma serwera, nie zmieni parametrów łącza ani zasad dostępu, nie ma do tego praw. |
|
| Autor: | tasiorek [ piątek, 13 stycznia 2006, 14:31 ] |
| Tytuł: | |
Widze, ze kolejna osoba pyta o to. Skoro ustawienie powloki na /usr/bin/passwd nie wystarcza, to zinteresuj sie tym http://www.jmcresearch.com/projects/jail/ (zaznaczam, ze tego nie probowalem, tylko wygooglowalem) |
|
| Autor: | smiernof [ sobota, 28 stycznia 2006, 21:14 ] |
| Tytuł: | |
Witam wszystkich. Piszę tu aby nie bazgrać następnego tematu a chodzi mi o polecenie "chown" . Otóż miałem folder A z folderami w których były inne foldery z plikami i folderami które miały foldery . Był to folder użytkownika banan Teraz przeniosłem ten folder A do jescze jednego foldera i zmieniłem nazwę na folder B -------------------------------------------- Moje pytanie jest takie : Czy jest taka możliwość żeby zmienić właściciela folderu B wraz z jego podfolderami ? Jest "tego" dość dużo i wpisywanie na przykład : chown burack /home/samba/stodola/folder B dla każdego podfolderu hm 
|
|
| Autor: | Mis' [ sobota, 28 stycznia 2006, 21:28 ] |
| Tytuł: | |
smiernof pisze: Witam wszystkich.
Piszę tu aby nie bazgrać następnego tematu a chodzi mi o polecenie "chown" . Otóż miałem folder A z folderami w których były inne foldery z plikami i folderami które miały foldery . Był to folder użytkownika banan Teraz przeniosłem ten folder A do jescze jednego foldera i zmieniłem nazwę na folder B -------------------------------------------- Moje pytanie jest takie : Czy jest taka możliwość żeby zmienić właściciela folderu B wraz z jego podfolderami ? Jest "tego" dość dużo i wpisywanie na przykład : chown burack /home/samba/stodola/folder B dla każdego podfolderu hm man chown, kurcze tak trudno sprawdzić? opcja -R, jak zresztą w większości poleceń wykonywanych na strukturze katalogów |
|
| Autor: | smiernof [ sobota, 28 stycznia 2006, 22:13 ] |
| Tytuł: | |
Aleś się zezłościł Mis' 
A teraz znowu pewnie coś lamerskiego
[root@router_nnd /]# man chown man: Nie ma takiego pliku ani katalogu Failed to open the message catalog man on the path NLSPATH=<none> No manual entry for chown [root@router_nnd /]# pacman -Q man man 1.5m2-1nnd [root@router_nnd /]# Nie znalazłem tego NLSPATH-a , ale pewnie o to chodzi że go nie ma . Nie znam agielskiego  domyślam się tylko.
help |
|
| Autor: | Mis' [ sobota, 28 stycznia 2006, 22:33 ] |
| Tytuł: | |
smiernof pisze: Aleś się zezłościł Mis' nie zezłościłem się. Jeszcze... Chcąc administrować jakimkolwiek systemem musisz nauczyć sie korzystać z dokumentacji. smiernof pisze: A teraz znowu pewnie coś lamerskiego [root@router_nnd /]# man chown man: Nie ma takiego pliku ani katalogu Failed to open the message catalog man on the path NLSPATH=<none> No manual entry for chown [root@router_nnd /]# pacman -Q man man 1.5m2-1nnd [root@router_nnd /]# Nie znalazłem tego NLSPATH-a , ale pewnie o to chodzi że go nie ma . Nie znam agielskiego domyślam się tylko.help [root@nnd-builder /]# pacman -Qo `which chown` /bin/chown należy do coreutils 5.2.1-1nnd [root@nnd-builder /]# pacman -Ss coreutils base/coreutils 5.2.1-1nnd The basic file, shell and text manipulation utilities of the GNU operating system reszta/coreutils-man 5.2.1-1nnd The basic file, shell and text manipulation utilities of the GNU operating system - manuale [root@nnd-builder /]# pacman -Q coreutils-man coreutils-man 5.2.1-1nnd [root@nnd-builder /]# [root@nnd-builder /]# pacman -Ql coreutils-man coreutils-man /usr/ coreutils-man /usr/man/ coreutils-man /usr/man/man1/ coreutils-man /usr/man/man1/basename.1.gz coreutils-man /usr/man/man1/cat.1.gz coreutils-man /usr/man/man1/chgrp.1.gz coreutils-man /usr/man/man1/chmod.1.gz coreutils-man /usr/man/man1/chown.1.gz coreutils-man /usr/man/man1/chroot.1.gz [...] komunikat mówił po prostu że manuala do chown nie znaleziono. I nic dziwnego bo pewnie go nie zainstalowałeś... Tak samo jak umiejętność czytania dokumntacji potrzebna jest umiejętność korzystania ze słownika (lub przynajmniej minimalna znajomość angielskiewgo) - nie wszystkie informacje są dostępne po polsku... manuale można znaleźć również w internecie, czasem nawet po polsku. Wystarczy chcieć. |
|
| Autor: | smiernof [ niedziela, 29 stycznia 2006, 22:51 ] |
| Tytuł: | |
Dziękuję Mis' za naprowadzenie mnie na "trop" . -R Nie załapałem od razu  . Ale w goglach znalazłem
Teraz po wydaniu tych poleceń : [root@router_nnd /]# chown -R familia /home/familia [root@router_nnd /]# chmod -R 700 /home/familia [root@router_nnd /]# Nadal nie mam dostępu do niektórych zasobów folderu familia
Loguje się jako familia wchode do folderu familia otwieram kilka folderów normalnie ale część z nich niestety nie mogę. Co jeszcze należy wykonać abym miał dostęp do folderów jako user familia ? Diękuję. |
|
| Autor: | marask [ poniedziałek, 30 stycznia 2006, 00:03 ] |
| Tytuł: | |
a co Ci wyświetla przy próbie wejścia na katalog ? |
|
| Autor: | agbis [ poniedziałek, 30 stycznia 2006, 09:39 ] |
| Tytuł: | |
smiernof pisze: Nadal nie mam dostępu do niektórych zasobów folderu familia Po mojemu powinno być: Jak nadałeś prawa 700, to tylko root ma dostęp do tych katalogów. Do grzebania w prawach może Ci się jeszcze przydać polecenie: Pokazuje Ci ono aktualnie obowiązujące prawa, właściciela i grupę plików. |
|
| Autor: | smiernof [ poniedziałek, 30 stycznia 2006, 13:51 ] |
| Tytuł: | |
No i sam sie wkopałem. utworzyłem sobie użytkownika /home/familia i folder : /home/samba/familia. dawałem prawa nie tam gdzie trzeba
Ale namieszałem . Zachowałem się jak .... ech przepraszam wszystkich którym nie potrzebnie czas zabrałem
Bardzo dziękuję za wszystkie podpowiedzi . ps. oj muszę spokojniej wydawać polecenia . Chyba trochę rutyna mnie zgubiła
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|