Repository 32bit  Forum
Repository 64bit  Wiki

limitare al minimo le operazioni di un utente

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

limitare al minimo le operazioni di un utente

Messaggioda nik600 » sab apr 22, 2006 7:37

ciao

dovrei dare accesso ad un utente su un server web via ssh, le cose che dovrebbe poter fare questo utente sono:

- accedere ad una determinata directory (solamente ad una) del file system all'interno della quale creare, eliminare, ,editare, modificare files
- personalizzare il proprio crontab
- utilizzare mysql da shell

è possibile far fare il chroot solo ad un utente?
io pensavo di fare una cosa del tipo:

/ root utente
-> bin / qui ci copio un po di programmi che potrebbero servirgli (ls/mkdir/rm/mysql/emacs/vi)
-> web / qui lui ci fa quello che vuole

il problema resterebbe crontab, come fa lui a modificarsi crontab se viene "chrootato"

e comunque, tutto cio è possibile? utilizzo slackware 10.1
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda Paoletta » sab apr 22, 2006 9:51

prova a guardare questo:
http://openskills.info/infobox.php?ID=1351

non puoi provare a mettere anche cron nell'ambiente chrootato?
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3899
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda nik600 » sab apr 22, 2006 10:45

ciao

grazie per la risposta, quel link è molto chiaro!!

stavo pensando, per crontab, come faccio a modificarlo?

nel senso, supponendo che con i vari comandi io riesca a replicare l'ambiente di configurazione di crontab, poi è il vero sistema che esegue crontab o è quello "finto" ?
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda Paoletta » sab apr 22, 2006 10:52

credo che gli utenti del tuo sistema chrootato possano metter le mani solo su un cron chrootato...
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3899
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda nik600 » sab apr 22, 2006 11:25

ok, ma quindi il mio utente dovrebbe lanciarsi il cron come demone?
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda Paoletta » sab apr 22, 2006 13:02

nik600 ha scritto:ok, ma quindi il mio utente dovrebbe lanciarsi il cron come demone?

non credo, root non può chrootare e lanciarlo lui?
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3899
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda nik600 » sab apr 22, 2006 13:39

ok, grazie per i suggerimenti
ti faccio sapere
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda nik600 » sab apr 22, 2006 14:18

ciao

sono riuscito a creare l'ambiente di chroot, e se provo a chrootarmi da shell funziona, non va però la procedura via ssh

ovviamente ho scaricato la versione giusta per me:
OpenSSH_3.9p1
l'ho compilata, e installata, ho riavviato sshd

questo è l'untente che ho creato:

utente:x:1012:100:,,,:/home/prove_chroot/./home/utente:/bin/bash

l'untente al login viene correttamente messo nella sua home, ma la root non viene cambiata... c'è un log di queste operazioni?
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda nik600 » lun apr 24, 2006 15:18

ho risolto!

il problema era che il make install metteva gli eseguibili in /usr/local/bin mentre il pacchetto precedente della slackware li aveva messi un /usr/bin

ho quindi eliminato il pacchetto e messo i path giusti in /etc/rc.d/rc.sshd

;-)

ciao e grazie

PS: certo che chroot sembra proprio a prova di bomba!
nel senso, avendo lasciato solo questi eseguibili nell'ambiente chroot:

Codice: Seleziona tutto
bash  cat  cp  ls  mkdir  mv  mysql  pwd  rm  sh



e avendo dato la possibilità all'utente di scrivere solo nella sua home... quali altri rischi si corrono?
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda nik600 » mer apr 26, 2006 13:07

ciao

fare andare crond in chroot mi sembra un po problematico, ho creato un "accrocchio"

l'utente edita a suo piacimento

/var/spool/cron/crontabs/utente nell'ambiente chrootato

poi io con il "vero" crontab faccio una copia di


chroot_path/var/spool/cron/crontabs/utente in /var/spool/cron/crontabs/utente

;-)
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda nik600 » mer apr 26, 2006 16:39

ciao

dare la possibilità di utilizzare chmod agli utenti in un ambiente chrootato è "rischioso" ? nel senso, aggiunge vulnerabilità al sistema?
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda Paoletta » mer apr 26, 2006 17:32

nik600 ha scritto:ciao

dare la possibilità di utilizzare chmod agli utenti in un ambiente chrootato è "rischioso" ? nel senso, aggiunge vulnerabilità al sistema?

non credo...
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3899
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite