Freesco, NND, CDN, EOS

Dopisuję nowe konto usera do systemu . Chcę , aby miał mozliwość korzystania z ftp'a , konto www (do stron ozywiście katalog oddzielny , np www katalogu domowym /home/user/www ) .Wszystko ok , ale taki user ma dostęp do każdego (poza niektórymi) katalogu i może podejrzeć np. hasło do bazy danych oraz ma dostęp do shella . Jak to wyłączyć ????

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Należy zainstalować proftpd, z dyrektywą DefaultRoot ~ i nikt nie wyjdzie poza swój katalog domowy. Katalog www usera to public_html w domowym. A w konfiguracji sshd dopisać usera, żeby się nie mógł logować.

_________________
Belfer.one.PL
Audio Cafe

Lepszym rozwiazaniem jest zmienic mu shell na /bin/false, ewentualnie /usr/bin/passwd zeby mogl zmienic haslo.
Zmiany robi sie w plikach /etc/passwd i /etc/shells.

Mam ustawiony DefaultRoot i kiedy loguje się na ftp'a to OK - ma dostęp tylko do np. public_html i stronki może tworzyć i nigdzie więcej nie wejdzie , ale może też ssh zalogować się na konsoli serwera i wtenczas ma dostęp do prawie wszystkich katalogów . Najlepiej byłoby wyłączyć możliwość logowania na konsoli ..... tylko jak ?? Shell'a już wywaliłem - znalazłem te pliki . Jak sprawdzić , czy shell jest wyłączony ??

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Chłopaki już Ci odpowiedziały.
W pliku /etc/passwd robisz linię tak:
...
user_bez_shella:.........:/dev/null
...

Wtedy nie może się logować

Lub :
...
user_bez_shella:.........:/usr/bin/passwd
...

Wtedy MOŻE się logować ale TYLKO by zmienić se hasełko i NIC WIĘCEJ.

Uuffff się rozgadałem dzisiaj.

Można również w pliku config_sshd dodać:
AllowUsers user1 user2
Dla tych użytkowników, którzy mają prawo zdalnie się zalogować.
Pozostałych system nie wpuści.

_________________
Belfer.one.PL
Audio Cafe

He , sorki , ale nie wiedziałem ,ze brak shell' a powoduje brak możliwości logowania . Przepraszam , mój błąd . OOOOOOOOOOOGROMNE dzięki . Przetestuję jeszcze to z hasłem .
Zabezpieczam serwer i staram się zablokowac zbędne , wręcz niebespieczne usługi . Jeżeli coś możecie podpowiedzieć , jakieś sugestie : co jeszcze , to prosze pisać , będę wdzięczny.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

No to po pierwsze minimum otwartych portow i dzialajacych uslug (komenda netstat). A po drugie konta shelowe (to te przez ktore wchodzisz na przyklad przez ssh) osobno i konta ftp osobno. A to dlatego ze latwo przechwycic hasla ftp i juz ktos mialby dostep do shella...

Porty już mam te które musze mieć otwarte , shell'a wyłączyłem , nawet przechwycenie hasła na ftp'a nic już nikomu nie da . Nie mam już pomysłów. Jest jeszcze cos takiego jak exploity . Ktoś wie coś więcej o nich ?

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Długo by opowiadać .. ale krótko, jest to program który wysadza inny program na serwerze np. apacz w wersji 9.9.9. Dupki wyszukują takie coś i mając exploita przechwytują serwer. W NND mamy problemy bo zabezpieczenia przed czyms takim to odnowienie wersji a w NND nie ma jeszcze polityki pakietów nie mówiąc o pakietach a już całkiem nie wspominając o szybkim odświeżeniu pakietów a całkiem nie wspominajmy ich dystrybucji (oczywiście opisuję stan obecny nie uwzględniając nowej roboty/dystrybucji przygotowywany/wany przez TN a zwłaszcza mis'ia).
Poza tym czytaj, czytaj i czytaj ...

Ad.
czy to nie jest zabezpieczenie tylko ssh ? Jakby ktoś się dorwał do serwera ręcznie to chyba wejdzie, a z sambą chyba też ?.

No dokladnie, dlatego lepszym rozwiazaniem jest powloka /bin/false lub /usr/bin/passwd, pisalem juz o tym wyzej. Z drugiej strony, jak ktos dorwie sie do serwera to i tak zrobi z nim co bedzie chcial... Mimo to lepiej zrobic to porzadnie, czyli przypisac odpowiednie powloki odpowiednim ludziom.

ja jak ustawialem false to sie cos zle dzialo z ftp'em ale gdy zrobilem date ( ) wszystko wrocilo do porzadku.....

AllowUsers jest zabezpieczeniem ssh, ale nie przesadzajmy, w końcu chyba tabuny userów nie mają fizycznego dostępu do serwera. Co do zagrożeń ze strony samby: jeśłi admin jest debil i sobie udostępni w sambie wszystko ( czyli / ), to zagrożenie jest.
Co do exploitów, przygotowane przeze mnie paczki (exim, tpop3d, apache-php-mysql) są przygotowane pod kątem bezpieczeństwa. Spora część sposobów na różne aplikacje nie będzie działać także dlatego, że w nnd nie ma kompilatora.

_________________
Belfer.one.PL
Audio Cafe

I to jest to.
Skromny kompilator by się przydał

żeby było więcej dziur