The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"шта делать?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Квоты, ограничения)
Изначальное сообщение [ Отслеживать ]

"шта делать?"  –1 +/
Сообщение от greenwar (ok) on 09-Окт-15, 18:26 
неправильно тема назвалась...

ОС Debian 8
допустим у юзера стоит /bin/false или /usr/sbin/nologin
но система запускает бинарники, которые принадлежат юзеру
Как ему запретить делать через его бинарники cat /etc/passwd и всё такое (ГЛОБАЛЬНО, типа chroot, а не по одному файлу права снимать) ?

например есть /etc/security/limits.conf, который работает через pam_limits.so, который присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на момент авторизации).
Там есть chroot в т.ч., но только на время сессии, если дело было через авторизацию и юзер вошёл, а если запускала сторонняя прога от имени юзера, то как быть?
И я кстати почему то не могу залогиниться с такой записью:
test1           -       chroot          /home/test1
пишет "/bin/bash: No such file or directory"
хотя я этот баш куда только не копировал и как только не менял chsh
сейчас он в /home/test1/bin/bash

Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся от имени группы, не могли выйти дальше /home

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "шта делать?"  +/
Сообщение от asavah (ok) on 09-Окт-15, 19:24 
для таких целей изобрели контейнерную виртуализацию
docker, openvz

всегда ваш, кэп


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "шта делать?"  –1 +/
Сообщение от greenwar (ok) on 09-Окт-15, 20:19 
> для таких целей изобрели контейнерную виртуализацию
> docker, openvz
> всегда ваш, кэп

под мои условия подходит только KVM
подошёл бы FreeBSD, но у меня линух
изучаю LXC пока...
крутая виртуализация ресурсы отожрёт и получится не то
хочу обсудить вариант БЕЗ виртуализации
что можно сделать?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "шта делать?"  –1 +/
Сообщение от Фабрика Огрызков on 10-Окт-15, 02:00 
> под мои условия подходит только KVM

А он тебя через SMM багу у интелов иль через отладочные регистры ломанёт.
При помощи косяков у TSC и HPET на некоторых чипсетах тоже можно вылезти из виртуалки.
И что самое клёвое будет сразу хостовый рут. А если на хосте в SMM лазать, то оттуда
сложнее шел от рута запустить. Отака х...ня, малята.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "шта делать?"  +/
Сообщение от Dima103 (ok) on 07-Дек-15, 14:45 
> для таких целей изобрели контейнерную виртуализацию
> docker, openvz
> всегда ваш, кэп

и я советую воспользоваться контейнерной виртуализацией


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "шта делать?"  +/
Сообщение от Павел Самсонов email on 09-Окт-15, 21:07 
> неправильно тема назвалась...
> ОС Debian 8
> допустим у юзера стоит /bin/false или /usr/sbin/nologin
> но система запускает бинарники, которые принадлежат юзеру
> Как ему запретить делать через его бинарники cat /etc/passwd и всё такое

У меня /home смонтирован с noexec, и все места куда пользователь может писать (/tmp и т.п.)
>[оверквотинг удален]
> И я кстати почему то не могу залогиниться с такой записью:
> test1           -
>       chroot    
>      /home/test1
> пишет "/bin/bash: No such file or directory"
> хотя я этот баш куда только не копировал и как только не
> менял chsh
> сейчас он в /home/test1/bin/bash
> Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся
> от имени группы, не могли выйти дальше /home

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "шта делать?"  –1 +/
Сообщение от greenwar (ok) on 09-Окт-15, 22:04 
> У меня /home смонтирован с noexec, и все места куда пользователь может
> писать (/tmp и т.п.)

таки мне надо, чтобы пользователь мог запускать файлы
но при этом:
либо не мог юзать команды, позволяющие хулиганить
либо не мог вылезать этими командами за пределы /home

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "шта делать?"  +/
Сообщение от Павел Самсонов email on 09-Окт-15, 22:33 
>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить

Я думаю что надо относиться так: все программы установленные рутом из репозитария не опасны, система все таки продумана на этот счет. Тащить в систему свой инструментарий можно запретить (например опцией noexec на места куда пользователь может писать). А так вообще на хостингах сайтов на некоторые команды ставят 770 root:root разрешения, это распространено. Ну а chroot или контейнер требует сборки нужного окружения для пользователя включая библиотеки.
> либо не мог вылезать этими командами за пределы /home

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "шта делать?"  +/
Сообщение от PavelR (??) on 10-Окт-15, 05:40 
>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить
> либо не мог вылезать этими командами за пределы /home

Попробуй selinux или вторую технологию, как там её зовут...
Если вкуришь всю эту тему - полюбому получится сделать то, что тебе надо.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "шта делать?"  +/
Сообщение от k (??) on 11-Окт-15, 14:44 
>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить
> либо не мог вылезать этими командами за пределы /home

restricted shell

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "шта делать?"  +/
Сообщение от greenwar (ok) on 11-Окт-15, 17:22 
>>> У меня /home смонтирован с noexec, и все места куда пользователь может
>>> писать (/tmp и т.п.)
>> таки мне надо, чтобы пользователь мог запускать файлы
>> но при этом:
>> либо не мог юзать команды, позволяющие хулиганить
>> либо не мог вылезать этими командами за пределы /home
> restricted shell

у меня юзеры не входят в систему (только по фтп)
но демон запускает их файлы

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

4. "шта делать?"  +/
Сообщение от Павел Самсонов email on 09-Окт-15, 22:00 
>[оверквотинг удален]
> присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на
> момент авторизации).
> Там есть chroot в т.ч., но только на время сессии, если дело
> было через авторизацию и юзер вошёл, а если запускала сторонняя прога
> от имени юзера, то как быть?
> И я кстати почему то не могу залогиниться с такой записью:
> test1           -
>       chroot    
>      /home/test1
> пишет "/bin/bash: No such file or directory"

Ему надо еще библиотеки ldd /bin/bash в /home/test1/lib/
> хотя я этот баш куда только не копировал и как только не
> менял chsh
> сейчас он в /home/test1/bin/bash
> Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся
> от имени группы, не могли выйти дальше /home

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "шта делать?"  +/
Сообщение от anonymous (??) on 13-Окт-15, 17:11 
"шта делать?"

по идее, для начала выучить русский язык

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "шта делать?"  +/
Сообщение от omonimus (ok) on 21-Окт-15, 21:04 
> "шта делать?"
> по идее, для начала выучить русский язык

Запятая тут ни к чему. Так что тот же совет дай и себе)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру