URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5347
[ Назад ]

Исходное сообщение
"шта делать?"
Отправлено greenwar , 09-Окт-15 18:26

неправильно тема назвалась...
ОС Debian 8
допустим у юзера стоит /bin/false или /usr/sbin/nologin
но система запускает бинарники, которые принадлежат юзеру
Как ему запретить делать через его бинарники cat /etc/passwd и всё такое (ГЛОБАЛЬНО, типа chroot, а не по одному файлу права снимать) ?
например есть /etc/security/limits.conf, который работает через pam_limits.so, который присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на момент авторизации).
Там есть chroot в т.ч., но только на время сессии, если дело было через авторизацию и юзер вошёл, а если запускала сторонняя прога от имени юзера, то как быть?
И я кстати почему то не могу залогиниться с такой записью:
test1 - chroot /home/test1
пишет "/bin/bash: No such file or directory"
хотя я этот баш куда только не копировал и как только не менял chsh
сейчас он в /home/test1/bin/bash
Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся от имени группы, не могли выйти дальше /home

Содержание

шта делать?,asavah, 19:24 , 09-Окт-15
- шта делать?,greenwar, 20:19 , 09-Окт-15
  - шта делать?,Фабрика Огрызков, 02:00 , 10-Окт-15
- шта делать?,Dima103, 14:45 , 07-Дек-15
шта делать?,Павел Самсонов, 21:07 , 09-Окт-15
- шта делать?,greenwar, 22:04 , 09-Окт-15
  - шта делать?,Павел Самсонов, 22:33 , 09-Окт-15
  - шта делать?,PavelR, 05:40 , 10-Окт-15
  - шта делать?,k, 14:44 , 11-Окт-15
    - шта делать?,greenwar, 17:22 , 11-Окт-15
шта делать?,Павел Самсонов, 22:00 , 09-Окт-15
шта делать?,anonymous, 17:11 , 13-Окт-15
- шта делать?,omonimus, 21:04 , 21-Окт-15

Сообщения в этом обсуждении

"шта делать?"
Отправлено asavah , 09-Окт-15 19:24

для таких целей изобрели контейнерную виртуализацию
docker, openvz
всегда ваш, кэп

"шта делать?"
Отправлено greenwar , 09-Окт-15 20:19

> для таких целей изобрели контейнерную виртуализацию
> docker, openvz
> всегда ваш, кэп
под мои условия подходит только KVM
подошёл бы FreeBSD, но у меня линух
изучаю LXC пока...
крутая виртуализация ресурсы отожрёт и получится не то
хочу обсудить вариант БЕЗ виртуализации
что можно сделать?

"шта делать?"
Отправлено Фабрика Огрызков , 10-Окт-15 02:00

> под мои условия подходит только KVM
А он тебя через SMM багу у интелов иль через отладочные регистры ломанёт.
При помощи косяков у TSC и HPET на некоторых чипсетах тоже можно вылезти из виртуалки.
И что самое клёвое будет сразу хостовый рут. А если на хосте в SMM лазать, то оттуда
сложнее шел от рута запустить. Отака х...ня, малята.

"шта делать?"
Отправлено Dima103 , 07-Дек-15 14:45

> для таких целей изобрели контейнерную виртуализацию
> docker, openvz
> всегда ваш, кэп
и я советую воспользоваться контейнерной виртуализацией

"шта делать?"
Отправлено Павел Самсонов , 09-Окт-15 21:07

> неправильно тема назвалась...
> ОС Debian 8
> допустим у юзера стоит /bin/false или /usr/sbin/nologin
> но система запускает бинарники, которые принадлежат юзеру
> Как ему запретить делать через его бинарники cat /etc/passwd и всё такое
У меня /home смонтирован с noexec, и все места куда пользователь может писать (/tmp и т.п.)
>[оверквотинг удален]
> И я кстати почему то не могу залогиниться с такой записью:
> test1           -
>       chroot
>      /home/test1
> пишет "/bin/bash: No such file or directory"
> хотя я этот баш куда только не копировал и как только не
> менял chsh
> сейчас он в /home/test1/bin/bash
> Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся
> от имени группы, не могли выйти дальше /home

"шта делать?"
Отправлено greenwar , 09-Окт-15 22:04

> У меня /home смонтирован с noexec, и все места куда пользователь может
> писать (/tmp и т.п.)
таки мне надо, чтобы пользователь мог запускать файлы
но при этом:
либо не мог юзать команды, позволяющие хулиганить
либо не мог вылезать этими командами за пределы /home

"шта делать?"
Отправлено Павел Самсонов , 09-Окт-15 22:33

>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить
Я думаю что надо относиться так: все программы установленные рутом из репозитария не опасны, система все таки продумана на этот счет. Тащить в систему свой инструментарий можно запретить (например опцией noexec на места куда пользователь может писать). А так вообще на хостингах сайтов на некоторые команды ставят 770 root:root разрешения, это распространено. Ну а chroot или контейнер требует сборки нужного окружения для пользователя включая библиотеки.
> либо не мог вылезать этими командами за пределы /home

"шта делать?"
Отправлено PavelR , 10-Окт-15 05:40

>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить
> либо не мог вылезать этими командами за пределы /home
Попробуй selinux или вторую технологию, как там её зовут...
Если вкуришь всю эту тему - полюбому получится сделать то, что тебе надо.

"шта делать?"
Отправлено k , 11-Окт-15 14:44

>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить
> либо не мог вылезать этими командами за пределы /home
restricted shell

"шта делать?"
Отправлено greenwar , 11-Окт-15 17:22

>>> У меня /home смонтирован с noexec, и все места куда пользователь может
>>> писать (/tmp и т.п.)
>> таки мне надо, чтобы пользователь мог запускать файлы
>> но при этом:
>> либо не мог юзать команды, позволяющие хулиганить
>> либо не мог вылезать этими командами за пределы /home
> restricted shell
у меня юзеры не входят в систему (только по фтп)
но демон запускает их файлы

"шта делать?"
Отправлено Павел Самсонов , 09-Окт-15 22:00

>[оверквотинг удален]
> присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на
> момент авторизации).
> Там есть chroot в т.ч., но только на время сессии, если дело
> было через авторизацию и юзер вошёл, а если запускала сторонняя прога
> от имени юзера, то как быть?
> И я кстати почему то не могу залогиниться с такой записью:
> test1           -
>       chroot
>      /home/test1
> пишет "/bin/bash: No such file or directory"
Ему надо еще библиотеки ldd /bin/bash в /home/test1/lib/
> хотя я этот баш куда только не копировал и как только не
> менял chsh
> сейчас он в /home/test1/bin/bash
> Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся
> от имени группы, не могли выйти дальше /home

"шта делать?"
Отправлено anonymous , 13-Окт-15 17:11

"шта делать?"
по идее, для начала выучить русский язык

"шта делать?"
Отправлено omonimus , 21-Окт-15 21:04

> "шта делать?"
> по идее, для начала выучить русский язык
Запятая тут ни к чему. Так что тот же совет дай и себе)