Forum Debian Users Gang

qbsiu · 2007-08-31 13:02:39

Witam! Znalazła się dobra osoba z łączem 6mb i postanowiła przeznaczyć jednego kompa do użytku dla swoich znajomych (ssh).
Tak więc zostałem poproszony by to wszystko skonfigurować, lecz ja jakoś nigdy nie interesowałem się zabezpieczeniami. I nigdy nikt mnie nie przesiadywał na kompie. ;) Tak więc proszę o porady, co zrobić by:
1. Zwykły user mógł odpalić tylko irssi, ekg, mc, itp.
2. Żeby nawet nie próbował łazić po punktach montowania!! /mnt oraz /media! ;)
3. Nie próbował się logować jako root (su oraz sudo).
4. Nie mógł nic nikomu wykasować i nie mógł łazić po innych kontach (np. /home/lukasz, itp)
5 ograniczyć każdego usera do max 50mb. Bo dysk nie jest zbyt duży.
Powiem tylko, że userów będzie +/- 10 (?)

Ja to sobie tak myślałem.... (oczywiście to co tu piszę pewnie jest źle, ale... ;) )
3. http://dug.net.pl/faq/faq-3-139-su_dla_wybranych_userow.phplink Ale mam małe pytanko:

teraz wystarczy tylko dodac userow kotryz maja miec prawo wykonywac polecenie su go grupy foo

- Czyli mam dodać coś takiego do: /etc/group:

Kod:

foo:x:30:loginy

2.
http://dug.net.pl/faq/faq-6-63-zmiana_wlasiciela_katalogu.php
Utworzę sobie konto qbsiu i tam gdzie dam

Kod:

chown login.grupa /sciezka/do/katalogu -R

to będę miał tam tylko ja dostęp. Jak już będę userem tego katalogu to

Kod:

chmod 770

Prosił bym o sugestie :/ i odpowiedzi.
Dziękuję Serdecznie!
Pozdrawiam!

TBH · 2007-08-31 13:40:15

ad1. Grsecurity na kernel i wtedy chroot i dajesz im tylko to co chcesz.

ad2. j/w :)

ad3. rm -f su :)))))))))))))))))))))))))))
a tak poważnie > wywal go z grupy wheel i z /etc/sudoers i juz

ad4. chmod 750 -R /home/tbh
i wtedy użytkownik lolmaker z /home/lolmaker nie bedzie mógł tego podejrzeć

ad5. uzyj quota

jak chcesz pomocy z tym to wal na Jabbera jak to zasugerowałem wczoraj :)

azhag · 2007-08-31 14:36:34

ja bym postawił serwer na PLD, tam tylko quota byłałby do zrobienia -- reszta jest domyślnie ;)

qbsiu · 2007-08-31 16:32:04

E. Wolę Debiana ^_^

Napalm · 2007-09-04 14:10:40

a tak poważnie > wywal go z grupy wheel

Jak sie usowa uzytkownikow z grupy wheel? zajzalem do /etc/group i nie mam tam takiej grupy.

stepien86 · 2007-09-04 14:28:59

Ja zastosowalem, powloke rbash i tylko wybrane polecenia mu dałem. Ludzik nie moze odpalac skryptow ./costam ale irssi i ekg moze ;). Co do katalogów ustaw odpowiednie prawa i to all. Jak wroce z roboty moge Ci napisac moje Howto odnoscnie tego rbasha. Pisze sobie cos takiego bo jak to robie za jakis czas to zapominam co i jak ;P.

Pozdrawiam

milyges · 2007-09-04 14:51:24

Ja zastosowalem, powloke rbash i tylko wybrane polecenia mu dałem. Ludzik nie moze odpalac skryptow ./costam ale irssi i ekg moze ;). Co do katalogów ustaw odpowiednie prawa i to all. Jak wroce z roboty moge Ci napisac moje Howto odnoscnie tego rbasha. Pisze sobie cos takiego bo jak to robie za jakis czas to zapominam co i jak ;P.

Pozdrawiam

Ktoś raz na IRC zarzucił tutek jak bardzo łatwo można się z rbash'a wydostać :p

TBH · 2007-09-04 16:59:40

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

a tak poważnie > wywal go z grupy wheel
Jak sie usowa uzytkownikow z grupy wheel? zajzalem do /etc/group i nie mam tam takiej grupy.

gpasswd -d wheel user

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org

iD8DBQFG3XN67tyJ7YiisagRAnevAKDNPOJ8m+Iozq04H0ThKy7Po3xTNwCfaRg+
jhWVrRJxsYdXmpk1gB4OIMM=
=GX/C
-----END PGP SIGNATURE-----

Napalm · 2007-09-06 14:51:04

(...)

a tak poważnie > wywal go z grupy wheel
Jak sie usowa uzytkownikow z grupy wheel? zajzalem do /etc/group i nie mam tam takiej grupy.
gpasswd -d wheel user

(...)

To niedziala...

Kod:

debian:/home/napalm# gpasswd -d napalm wheel
nieznana grupa: wheel
gpasswd: Operacja niedozwolona.

nie mam grupy wheel.

qbsiu · 2007-09-25 23:52:23

Tak, nie ma tej grupy.
Poklikałem z kim trzeba (dzięki slashbeast!) i tak
- quota skonfigurowana
- Grsecurity.... średnio :P jeszcze o tym nie czytałem.
- grupy, chmod, chown, itp.
- ograniczenia zalogowań /etc/security/limits.conf
Tylko nie ma serwera!! :[ ehh... We czwartek stawiam system i patrzę czy da się zrobić coś w stylu no-ip.com (bo to nerwostrada jest, ale zdrowo zapiernicza) ;) Komp by chodził 24/7... Jeszcze tylko nie wiem czy nie będzie trzeba bawić się w tunelowanie :(

SlashBeast · 2007-09-27 23:32:35

TBH dobrze gada, wódki mu!

Imho warto zostawić tylko exec do /etc dla zwykłęgo usera (to nie jest zabezpieczenie samo w sobie, ale nie wylistują zawartości katalogu).

Kernelik z Grsecurity oczywiscie, PaX opcjonaly, ale wtedy to toolchain wypadało by z łatami PaXa mieć więc może zlej go.

w limits ogranicz też liczbe procesów byś nie dostał fork bombe i pamięc na np. 16mega na usera. Inaczej można ostro po dupie dostać.

co do uprawnien na katalogi domowe, dajesz chmod 701 na home swój i jesteś odciety od innych userów ale przyjmująć ze podstawową grupą każdego usera w tym i Twoją jest grupa users., czy inna, ale taka sama dla wszystich.

Forum Debian Users Gang

Ogłoszenie

#1 2007-08-31 13:02:39

qbsiu - Członek DUG

Bezpieczne Konto Shell! Od podstaw!

Kod:

Kod:

Kod:

#2 2007-08-31 13:40:15

TBH - Członek DUG

Re: Bezpieczne Konto Shell! Od podstaw!

#3 2007-08-31 14:36:34

azhag - Admin łajza

Re: Bezpieczne Konto Shell! Od podstaw!

#4 2007-08-31 16:32:04

qbsiu - Członek DUG

Re: Bezpieczne Konto Shell! Od podstaw!

#5 2007-09-04 14:10:40

Napalm - Członek DUG

Re: Bezpieczne Konto Shell! Od podstaw!

#6 2007-09-04 14:28:59

stepien86 - Członek DUG

Re: Bezpieczne Konto Shell! Od podstaw!

#7 2007-09-04 14:51:24

milyges - inż.

Re: Bezpieczne Konto Shell! Od podstaw!

#8 2007-09-04 16:59:40

TBH - Członek DUG

Re: Bezpieczne Konto Shell! Od podstaw!

#9 2007-09-06 14:51:04

Napalm - Członek DUG

Re: Bezpieczne Konto Shell! Od podstaw!

Kod:

#10 2007-09-25 23:52:23

qbsiu - Członek DUG

Re: Bezpieczne Konto Shell! Od podstaw!

#11 2007-09-27 23:32:35

SlashBeast - Użytkownik

Re: Bezpieczne Konto Shell! Od podstaw!

Stopka forum