| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| użytkownicy http://forum.freesco.pl/viewtopic.php?f=22&t=4773 |
Strona 1 z 1 |
| Autor: | Albercik [ poniedziałek, 21 czerwca 2004, 02:09 ] |
| Tytuł: | użytkownicy |
Dopisuję nowe konto usera do systemu . Chcę , aby miał mozliwość korzystania z ftp'a , konto www (do stron ozywiście katalog oddzielny , np www katalogu domowym /home/user/www ) .Wszystko ok , ale taki user ma dostęp do każdego (poza niektórymi) katalogu i może podejrzeć np. hasło do bazy danych oraz ma dostęp do shella . Jak to wyłączyć ???? |
|
| Autor: | Maciek [ poniedziałek, 21 czerwca 2004, 09:37 ] |
| Tytuł: | |
Należy zainstalować proftpd, z dyrektywą DefaultRoot ~ i nikt nie wyjdzie poza swój katalog domowy. Katalog www usera to public_html w domowym. A w konfiguracji sshd dopisać usera, żeby się nie mógł logować. |
|
| Autor: | Adrian [ poniedziałek, 21 czerwca 2004, 10:00 ] |
| Tytuł: | |
Maciek pisze: A w konfiguracji sshd dopisać usera, żeby się nie mógł logować.
Lepszym rozwiazaniem jest zmienic mu shell na /bin/false, ewentualnie /usr/bin/passwd zeby mogl zmienic haslo. Zmiany robi sie w plikach /etc/passwd i /etc/shells. |
|
| Autor: | Albercik [ poniedziałek, 21 czerwca 2004, 12:11 ] |
| Tytuł: | |
Mam ustawiony DefaultRoot i kiedy loguje się na ftp'a to OK - ma dostęp tylko do np. public_html i stronki może tworzyć i nigdzie więcej nie wejdzie , ale może też ssh zalogować się na konsoli serwera i wtenczas ma dostęp do prawie wszystkich katalogów . Najlepiej byłoby wyłączyć możliwość logowania na konsoli ..... tylko jak ?? Shell'a już wywaliłem - znalazłem te pliki . Jak sprawdzić , czy shell jest wyłączony ?? |
|
| Autor: | Koriolan [ poniedziałek, 21 czerwca 2004, 12:55 ] |
| Tytuł: | |
Chłopaki już Ci odpowiedziały. W pliku /etc/passwd robisz linię tak: ... user_bez_shella:.........:/dev/null ... Wtedy nie może się logować 
Lub : ... user_bez_shella:.........:/usr/bin/passwd ... Wtedy MOŻE się logować ale TYLKO by zmienić se hasełko i NIC WIĘCEJ. Uuffff się rozgadałem dzisiaj. |
|
| Autor: | Maciek [ poniedziałek, 21 czerwca 2004, 13:21 ] |
| Tytuł: | |
Można również w pliku config_sshd dodać: AllowUsers user1 user2 Dla tych użytkowników, którzy mają prawo zdalnie się zalogować. Pozostałych system nie wpuści. |
|
| Autor: | Albercik [ poniedziałek, 21 czerwca 2004, 18:56 ] |
| Tytuł: | |
Cytuj: Chłopaki już Ci odpowiedziały.
He , sorki , ale nie wiedziałem ,ze brak shell' a powoduje brak możliwości logowania  . Przepraszam , mój błąd . OOOOOOOOOOOGROMNE dzięki . Przetestuję jeszcze to z hasłem .
Zabezpieczam serwer i staram się zablokowac zbędne , wręcz niebespieczne usługi . Jeżeli coś możecie podpowiedzieć , jakieś sugestie : co jeszcze , to prosze pisać , będę wdzięczny. |
|
| Autor: | Adrian [ poniedziałek, 21 czerwca 2004, 21:55 ] |
| Tytuł: | |
Albercik pisze: Zabezpieczam serwer i staram się zablokowac zbędne , wręcz niebespieczne usługi . Jeżeli coś możecie podpowiedzieć , jakieś sugestie : co jeszcze , to prosze pisać , będę wdzięczny.
No to po pierwsze minimum otwartych portow i dzialajacych uslug (komenda netstat). A po drugie konta shelowe (to te przez ktore wchodzisz na przyklad przez ssh) osobno i konta ftp osobno. A to dlatego ze latwo przechwycic hasla ftp i juz ktos mialby dostep do shella... |
|
| Autor: | Albercik [ poniedziałek, 21 czerwca 2004, 22:58 ] |
| Tytuł: | |
Porty już mam te które musze mieć otwarte , shell'a wyłączyłem , nawet przechwycenie hasła na ftp'a nic już nikomu nie da . Nie mam już pomysłów. Jest jeszcze cos takiego jak exploity . Ktoś wie coś więcej o nich ? |
|
| Autor: | Koriolan [ środa, 23 czerwca 2004, 11:52 ] |
| Tytuł: | |
Długo by opowiadać .. ale krótko, jest to program który wysadza inny program na serwerze np. apacz w wersji 9.9.9. Dupki wyszukują takie coś i mając exploita przechwytują serwer. W NND mamy problemy bo zabezpieczenia przed czyms takim to odnowienie wersji a w NND nie ma jeszcze polityki pakietów nie mówiąc o pakietach a już całkiem nie wspominając o szybkim odświeżeniu pakietów a całkiem nie wspominajmy ich dystrybucji (oczywiście opisuję stan obecny nie uwzględniając nowej roboty/dystrybucji przygotowywany/wany przez TN a zwłaszcza mis'ia). Poza tym czytaj, czytaj i czytaj ... Ad. czy to nie jest zabezpieczenie tylko ssh ? Jakby ktoś się dorwał do serwera ręcznie to chyba wejdzie, a z sambą chyba też ?. |
|
| Autor: | Adrian [ środa, 23 czerwca 2004, 11:58 ] |
| Tytuł: | |
Koriolan pisze: Ad.
czy to nie jest zabezpieczenie tylko ssh ? Jakby ktoś się dorwał do serwera ręcznie to chyba wejdzie, a z sambą chyba też ?. No dokladnie, dlatego lepszym rozwiazaniem jest powloka /bin/false lub /usr/bin/passwd, pisalem juz o tym wyzej. Z drugiej strony, jak ktos dorwie sie do serwera to i tak zrobi z nim co bedzie chcial... Mimo to lepiej zrobic to porzadnie, czyli przypisac odpowiednie powloki odpowiednim ludziom. |
|
| Autor: | Anonymous [ środa, 23 czerwca 2004, 14:37 ] |
| Tytuł: | |
ja jak ustawialem false to sie cos zle dzialo z ftp'em ale gdy zrobilem date ( ) wszystko wrocilo do porzadku.....
|
|
| Autor: | Maciek [ czwartek, 24 czerwca 2004, 08:41 ] |
| Tytuł: | |
AllowUsers jest zabezpieczeniem ssh, ale nie przesadzajmy, w końcu chyba tabuny userów nie mają fizycznego dostępu do serwera. Co do zagrożeń ze strony samby: jeśłi admin jest debil i sobie udostępni w sambie wszystko ( czyli / ), to zagrożenie jest. Co do exploitów, przygotowane przeze mnie paczki (exim, tpop3d, apache-php-mysql) są przygotowane pod kątem bezpieczeństwa. Spora część sposobów na różne aplikacje nie będzie działać także dlatego, że w nnd nie ma kompilatora. |
|
| Autor: | Anonymous [ czwartek, 24 czerwca 2004, 19:45 ] |
| Tytuł: | |
I to jest to. Skromny kompilator by się przydał 
|
|
| Autor: | MAC!EK [ piątek, 25 czerwca 2004, 00:05 ] |
| Tytuł: | |
Kwiatkos pisze: I to jest to.
Skromny kompilator by się przydał żeby było więcej dziur  
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|