Περιορισμός Χρηστών

Alex ancalagon_lists at freemail.gr
Tue Jun 15 02:10:58 EEST 2004 

Balaskas Euaggelos wrote:
> Sidirourgos Lefteris wrote:
> 
>> Balaskas Euaggelos wrote:
>>
>>> Haris Andrianakis wrote:
>>>
>>>> Balaskas Euaggelos wrote:
>>>>
>>>>> Πως μπορώ να περιορίζω τους χρήστες σε ένα σύστημα να μην μπορεί να 
>>>>> βγει
>>>>> από τον προσωπικό του κατάλογο ΠΡΟΣ τα επάνω, δηλαδή να μην μπορεί να
>>>>> κάνει περιήγηση στο σύστημα παρά μόνο στα περιεχόμενα του καταλόγου 
>>>>> του?
>>>>>
>>>> Το shell /bin/bash έχει μία επιλογή --restricted η οποία κάνει και
>>>> αυτό που ζητάς.
>>>> Κάνε ένα man bash για να δεις τι άλλο κάνει.
>>>> Επίσης στο /etc/passwd μπορείς να αλλάξεις το shell του χρήστη
>>>> που θες να περιορίσεις απο bash σε rbash και έτσι είναι από μόνο
>>>> του restricted.
>>>> Απ'ότι ξέρω όμως υπάρχει τρόπος να περάσουν τους περιορισμούς αυτούς 
>>>> οι χρήστες.
>>>>
>>>
>>> Thanks για την βοήθεια - αλλά δεν βοήθησες δυστυχώς
>>>
>>
>> Giati? den douleyoun ayta pou proteine o Haris? Se rwtaw giati kai egw 
>> den h3era pws ginete kai me endiefere:)
>>
>> lefteris
>>
> 
> OXI όπως θα ήθελα εγώ,
> 
> χρησιμοποιώ το bash -r σε σύστημα παραγωγής πάνω από 2 χρόνια για 2000 
> χρήστες.
> 
> Αλλά εγώ θέλω ο χρήστης να ΜΗΝ μπορεί να βγει από τον δικό του κατάλογο 
> και να μην μπορεί να εκτελέσει καμία εντολή έξω από τον δικό του 
> κατάλογο, αλλά θέλω να μπορεί να εκτελέσει τα προγράμματα που έχω 
> εγκαταστήσει. Εάν για παράδειγμα έχω πραγματοποιήσει την εγκατάσταση 
> mysql να μπορεί ο χρήστης να έχει πρόσβαση στην mysql.
> 

Το πρόβλημα που οριοθετείς είναι σαν την κότα με το αυγό. Δεν θες να 
βγαίνει εξω απο τον home dir του αλλά να μπορεί να εκτελεί καποιες 
συγκεκριμένες εντολές που θες εσύ με privileges κανονικού χρήστη.
Λύση στο συγκεκριμένο θέμα δίνεται με το chroot το οποίο όμως δεν
θεωρείται σόι στην περίπτωση πολλών χρηστών γιατι θα πρέπει να φτιάξεις
ενα περιβάλλον για τον χρήστη που να μοιάζει με το κανονικό τουλάχιστον 
στο θέμα των βιβλιοθηκών που χρειάζονται ώστε να τρέξουν οι εφαρμογές 
που ζητάς. Τώρα ενα αλλο πρόβλημα είναι τα αρχεία που θα γράφουν αυτές 
οι εφαρμογές ότι πρέπει να βρίσκονται μέσα στην φυλακή. Για μεγάλο 
αριθμό χρηστών αυτό δεν βολεύει.
Αλλη λύση στο θέμα είναι η εξης:
Αφαίρεσε απο όλα τα directories και τα αρχεία που δεν είναι απαραίτητηα 
να διαβάζουν οι χρήστες το ο+r από όλες τις εντολές το o+x και πρόσθεσέ 
το κατόπιν στις εντολές που θέλεις να τον αφήσεις να μπορεί να εκτελεί.
Απο την μία βέβαια είναι σε θέση να κινηθεί σε όσους καταλόγους έχεις 
αφήσει το ο+χ από την άλλη δεν είναι ποτε σε θέση να κανει list τα 
περιεχόμενα,δεν είναι σε θέση να εκτελέσει εντολές εκτός απο αυτές που
εσκεμμένα έχεις αφήσει. Αυτό το setup θα σου μπλέξει το σύστημα μέχρι 
εκεί που δεν πάει αλλά αν τα καταφέρεις θα πρέπει να είναι σχετικά 
ενταξει η κατάσταση(το έχω κανει σε τεστ και σε γενικές γραμμες και με 
fine-tweaking δούλεψε). Είναι όμως πολύ δουλεία που δεν αξίζει απαραίτητα.
Τέλος μια ιδέα που μου ήρθε μόλις είναι να χρησιμοποιήσεις POSIX ACL's.
Θα φτιάξεις ένα καινούριο domain για τον χρήστη σου,θα τον κάνεις deny 
μέσω των ACL's από τα πάντα που δεν θες. Πάλι δεν τον κλειδώνεις στο
directory του αλλα τουλάχιστον απο την προηγούμενη ιδέα γλιτώνεις το 
απίστευτο μπλέξιμο που έχεις με τα permissions.

More information about the Linux-greek-users mailing list