Freesco, NND, CDN, EOS

Jak zawsze znow bede nawiazywal do ssh. Otorz jak skonfigurowac usera aby mial minimalne prawa dostepu do danych jednak musi sie zalogowac /bin/false w pliku hasel zatem nie wchodzi w gre. Konto ma sluzyc tylko po to aby sie zalogowac i postawic tunel. Nie chce aby user buszowal mi po zasobach i plikach konfiguracyjnych

_________________
Pozdrowienia
Bolo

Jeszcze jedno a nie bede pisal nowego watku. Czy user nobody ma jakies inne ustawienia od wszystkich, tzn czy na jego konto mozna sie zalogowac jak nie ma w pliku passwd /bin/false albo przejsc z jednego usera za pomoca su na nobody?

Chodzi o to ze glupie PHP ma swietny mechanizm obslugi sesji jednak majacy powazna wade. Jego pliki wedruja do jakiegos katalogu jaki ustawi sie w php.ini. No i tam sa wszystkie zmienne sesyjne oczywiscie nie szyfrowane (nawet jakby byly to by musial byd dekoder wiec ograniczalo by to dostep dla gora 10% debili). Niektorzy zatem trzymaja sesje w bazach danych ale wtedy trzeba napisac mini skrypt aby sie z nia polaczyc oczywiscie wymagajacy hasla wiec spara rozbija sie o kant d... . Z reszta mechanizmy zabezpieczenia hasel w samym mysql sa lepsze niz to co oferuja systemy skryptow jakie uzywaja portale i fora. W moim przypadku PHP to tylko nakladka do bazy majaca ulatwic zycie userom. Wole rozdawac hasla i konta do mysql niz stosowac jakies sztuczki z glownym haslem do bazy danych ktore oczywiscie siedzi w skryptcie php a samo php reguluje prawa poprzez hasla w innej bazie do ktorej dostep tez jest poprzez haslo w skryptcie. Zawsze mozna podgladnac haslo i sie zalogowac do bazy z haslami i pokasowac wszystkie pola, lub bezposrednio zalogowac sie do glownej bazy danych. Od strony internetu jest to oczywiscie trudne do zrealizowania ale jak ktos ma dostep poprzez schela to spawa zaczyna smierdziec.

_________________
Pozdrowienia
Bolo

W standardzie dla nobody nie ma hasła, czyli z usera innego niż root się przez su nie dostaniesz na to konto.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Mam nadzieje ze w takim razie katalog do ktorego ma prawa rwx------ user nobody nikt inny sie nie dostanie oprocz nobody. Oczywiscie katalog ten nie wchodzi w zakres katalogu document root dla apache

_________________
Pozdrowienia
Bolo

Pociagne troszke temat zmieniajac troszke jego tresc, mianowicie czy znacie sposob na uzyskanie ponizszego efektu:
zakladam konto na serwerze (adduser), jaki chce osiagnac efekt? Aby uzytkownik posiadajacy to konto nie mogl wyjsc poza obreb swojego katalogu /home/newuser podgladajac tym samym ustawien serwera itp. Czy da sie to osiagnac ustawiajac odpowiednie prawa, jesli tak to jaki czy w jakis inny sposob?

_________________
www.lan14.net

SSH umożliwia prace w shellu, nie ma możliwości ograniczenia mu zakresu działań poza systemowymi (np. nie zobaczy /etc/shadow, Nie zobaczy zawartości katalogu innego usera, roota, nie będzie mógł edytowac żadnego pliku, który nie jest jego własnością...). Są oczywiscie mechanizmy ograniczające usera do jego własnego środowiska w katalogu domowym (jest ono wówczas najczęściej zubożone przez admina) - o ile pamiętam nazywał się ten mechanizm - jail. Jego zastosowanie jest możliwe dla pewnych demonów (np. serwer www), ale także dla pojedynczego użytkownika. są to jednak rozwiązania dość skomplikowane i nie mające sensu w odniesieniu do małych sieci, w których admin zna użytkowników. Zasadą którą sugerujemy w NND - nie dawać shella nikomu bez wyraźnej potrzeby. I jeszcze jedno - zwykły użytkownik nie "namiesza" nic... - nie zrebootuje i nie zatrzyma serwera, nie zmieni parametrów łącza ani zasad dostępu, nie ma do tego praw.

_________________
Belfer.one.PL
Audio Cafe

Widze, ze kolejna osoba pyta o to. Skoro ustawienie powloki na /usr/bin/passwd nie wystarcza, to zinteresuj sie tym http://www.jmcresearch.com/projects/jail/ (zaznaczam, ze tego nie probowalem, tylko wygooglowalem)

Witam wszystkich.

Piszę tu aby nie bazgrać następnego tematu a chodzi mi o polecenie "chown" .

Otóż miałem folder A z folderami w których były inne foldery z plikami i folderami które miały foldery .

Był to folder użytkownika banan

Teraz przeniosłem ten folder A do jescze jednego foldera i zmieniłem nazwę na folder B
--------------------------------------------
Moje pytanie jest takie :

Czy jest taka możliwość żeby zmienić właściciela folderu B wraz z jego podfolderami ?

Jest "tego" dość dużo i wpisywanie na przykład :

chown burack /home/samba/stodola/folder B

dla każdego podfolderu hm

man chown, kurcze tak trudno sprawdzić? opcja -R, jak zresztą w większości poleceń wykonywanych na strukturze katalogów

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Aleś się zezłościł Mis'

A teraz znowu pewnie coś lamerskiego



Nie znalazłem tego NLSPATH-a , ale pewnie o to chodzi że go nie ma .
Nie znam agielskiego domyślam się tylko.

help

nie zezłościłem się. Jeszcze... Chcąc administrować jakimkolwiek systemem
musisz nauczyć sie korzystać z dokumentacji.





komunikat mówił po prostu że manuala do chown nie znaleziono. I nic dziwnego bo pewnie go nie zainstalowałeś...
Tak samo jak umiejętność czytania dokumntacji potrzebna jest umiejętność korzystania ze słownika (lub przynajmniej minimalna znajomość angielskiewgo) - nie wszystkie informacje są dostępne po polsku...
manuale można znaleźć również w internecie, czasem nawet po polsku. Wystarczy chcieć.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Dziękuję Mis' za naprowadzenie mnie na "trop" . -R
Nie załapałem od razu . Ale w goglach znalazłem

Teraz po wydaniu tych poleceń :


Nadal nie mam dostępu do niektórych zasobów folderu familia

Loguje się jako familia wchode do folderu familia otwieram kilka folderów normalnie ale część z nich niestety nie mogę.

Co jeszcze należy wykonać abym miał dostęp do folderów jako user familia ?

Diękuję.

a co Ci wyświetla przy próbie wejścia na katalog ?

Po mojemu powinno być:
Jak nadałeś prawa 700, to tylko root ma dostęp do tych katalogów. Do grzebania w prawach może Ci się jeszcze przydać polecenie: Pokazuje Ci ono aktualnie obowiązujące prawa, właściciela i grupę plików.

No i sam sie wkopałem.
utworzyłem sobie użytkownika /home/familia
i folder :
/home/samba/familia.

dawałem prawa nie tam gdzie trzeba
Ale namieszałem . Zachowałem się jak .... ech przepraszam wszystkich którym nie potrzebnie czas zabrałem

Bardzo dziękuję za wszystkie podpowiedzi .

ps. oj muszę spokojniej wydawać polecenia . Chyba trochę rutyna mnie zgubiła