Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
rbash oder wie sperre ich einen Benutzer in seine shell ein

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
andreas78



Anmeldungsdatum: 30.08.2004
Beiträge: 34

BeitragVerfasst am: 06. Dez 2004 9:11   Titel: rbash oder wie sperre ich einen Benutzer in seine shell ein

Hallo Linuxer,

ich habe folgendes Problem:

ich möchte einem entfernten User eine Einwahl über ssh2 auf meinem firewall-server ermöglichen, damit er einen tunnel auf meinen mailserver aufbauen kann. Er soll nur den tunnel aufbauen können, auf dem fw-rechner sollte er natürlich nix machen dürfen. Ich habe per default shon die rbash eingestellt. Das dumme is nur man kann aus dieser rbash unter suse 9.0 einfach durch eingabe von "bash" ausbrechen, wie kann ich das verhindern bzw wie kann ich dem user so gut wie alles verbieten?!

mfg
andreas
 
Benutzer-Profile anzeigen Private Nachricht senden Yahoo Messenger

jochen
prolinux-forum-admin


Anmeldungsdatum: 14.01.2000
Beiträge: 699
Wohnort: Jülich

BeitragVerfasst am: 06. Dez 2004 10:33   Titel:

Hi,

nur die rbash als Login-Shell zu setzen bringt nichts. Du musst außerdem die .bash_profile anpassen! Beispielsweise kannst Du dort die Variable PATH so setzen, dass sie nur noch auf sein eigenes ~/bin-Verzeichnis zeigt, wo das eine Skript drinne liegt, dass der User aufrufen darf. Schau mal in die man-Page zu bash in die Sektion "RESTRICTED SHELL". Da wird zuerst beschrieben, was der User alles nicht mehr darf. Dann folgt:
Zitat:
These restrictions are enforced after any startup files are read.

When a command that is found to be a shell script is executed (see
COMMAND EXECUTION above), rbash turns off any restrictions in the
shell spawned to execute the script.
Zu gut deutsch: In der Datei .bash_profile kannst Du noch die PATH-Variabel verändern, der User aber später nicht mehr. Daher darf die .bash_profile für den User aber auch nur lesbar, aber nicht änderbar sein! Und wenn dein User dann ein Skript für eine definierte Aktion startet, setzen die Restriktionen für die Shell, die das Skript ausführt; aus. Was bedeutet, dass Du auch dieses Skript absichern solltest: IFS und PATH explizit setzen, ggf. statt PATH nur absolute Pfadnamen verwenden, keine Argumente vom Aufrufenden entgegen nehmen und wenn, dann nur nach paranoioden Sicherheitschecks verwenden usw.

Jochen
_________________
Die grösste Lüge der EDV? "Mal eben..."
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

andreas78



Anmeldungsdatum: 30.08.2004
Beiträge: 34

BeitragVerfasst am: 07. Dez 2004 15:42   Titel:

Hallo,

danke für die antwort, habs hinbekommen. Das is ja richtig praktisch, er kann nicht mal den vi aufrufen, mit dem man angeblich wohl einfach aus der rbash ausbrechen konnte

Very Happy Cool

mfg
andreas
 
Benutzer-Profile anzeigen Private Nachricht senden Yahoo Messenger

jochen
prolinux-forum-admin


Anmeldungsdatum: 14.01.2000
Beiträge: 699
Wohnort: Jülich

BeitragVerfasst am: 07. Dez 2004 19:39   Titel:

Man kann mit jedem Kommando aus der rbash ausbrechen, das einem einen sog. Shell-Out ermöglicht. Tipp mal im vi ":sh" und schon bist Du in einer neuen Shell. (Mit "exit" und ":q!" kommst Du wieder raus.)

Jochen
_________________
Die grösste Lüge der EDV? "Mal eben..."
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

andreas78



Anmeldungsdatum: 30.08.2004
Beiträge: 34

BeitragVerfasst am: 13. Dez 2004 10:36   Titel:

Hi,

vi:sh --> command not found

/usr/bin/vi:sh --> /usr/bin/vi:sh restricted: cannot specify `/ ' in command names

Cool

mfg
andreas
 
Benutzer-Profile anzeigen Private Nachricht senden Yahoo Messenger

CheersMichael
Gast





BeitragVerfasst am: 17. Dez 2004 13:20   Titel:

Wie wäre ist denn mit den Restrictionsmöglichkeiten des SSHD via authorized_keys-File.

Hier ein Beispiel:

http://sws.dett.de/knowledgebase/tech/msg00026.html

Hope that helps.

Cheers

Michael
 

andreas78



Anmeldungsdatum: 30.08.2004
Beiträge: 34

BeitragVerfasst am: 22. Dez 2004 15:30   Titel:

Hallo,

wenn ich mich nicht richtig irre, dann heißt das doch das die authorisation über ein zertifikat läuft. Das dumme daran is nur, das ich für diesen einen user kein zertifikat verwenden kann, da es bei größeren entfernungen (z.B. Japan-Deutschland) probleme mit der Zertifikats-Authorisation gibt. (oder bin ich schwer von begriff?!)

mfg
andreas
 
Benutzer-Profile anzeigen Private Nachricht senden Yahoo Messenger

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy