LINUX.ORG.RU

Ограничение функциональности ssh

 , , удалённая


1

2

Предположим множество людей имеют доступ к одному аккаунту через ssh (так надо, там специальная оболочка) и что бы никто не хулиганил нужно запретить использовать scp и подобные этим команды для этой учётной записи. Как это сделать?

Все варианты не предусмотришь. Что ему мешает запустить клиент-серверное приложение, которое передает файлы? Еще как вариант, он может собрать любую утилиту из исходников или просто скопировать/скачать бинари.

Мне кажется, лучшим решением является - перекрывать права так чтоб у пользователя просто не было доступа к файлам, которые он может захотеть scp-хнуть.

observer ★★★
()
Ответ на: комментарий от observer

Нет. Оболочка же специальная. Принимает только несколько команд. Запуск произвольного бинаря и скрипта поэтому исключён. Но надо сделать так что бы его нельзя было залить через scp. Или скажем при помощи scp подменить файл настроек.

rezedent12 ☆☆☆
() автор топика

man sshd_config

Match User youruser
ForceCommand /usr/local/bin/special.shell

scp обломится

sdio ★★★★★
()
Ответ на: комментарий от winddos

FTP, и не парь себе мозг.

Ему наоборот надо закрыть возможность получения файлов (если говорить конкретно о scp).

observer ★★★
()
Ответ на: комментарий от rezedent12

Нет. Оболочка же специальная. Принимает только несколько команд. Запуск произвольного бинаря и скрипта поэтому исключён. Но надо сделать так что бы его нельзя было залить через scp. Или скажем при помощи scp подменить файл настроек.

Там SeLinux что ли? Иначе всегда есть возможность обойти.

cryptos
()
Ответ на: комментарий от observer

Ему наоборот надо закрыть возможность получения файлов (если говорить конкретно о scp).

Бугага. Ещё один изобретальщик защиты от копирования. А то, что содержимое файла будет выведено на экран, сфоткано, а потом распознано автоматическими программами, тебя не смущает?

cryptos
()
Ответ на: комментарий от rezedent12

Запуск произвольного бинаря и скрипта поэтому исключён. Но надо сделать так что бы его нельзя было залить через scp.

монтировать раздел с noexec нэ?

anonymous
()
Ответ на: комментарий от rezedent12

Или скажем при помощи scp подменить файл настроек

ro доступ к файлу настроек

anonymous
()
Ответ на: комментарий от anonymous

монтировать раздел с noexec нэ?

Нет, совсем не то.

Читаем примерно отсюда и далее:

создание модели безопасности на основе путей, а не модификации файловой системы и введения доменов безопасности — неполноценно

cryptos
()
Ответ на: комментарий от snoopcat

как ты обойдешь, если в passwd указан какой-нибудь /usr/bin/myshell?

Читаем по ссылке:
https://en.wikipedia.org/wiki/Restricted_shell

The restricted shell is not completely secure. A user can break out of the restricted environment by running a program that features a shell function. The following is an example of the shell function in vi being used to escape from the restricted shell

А если серьёзно, то тысячи методов обхода есть, и ещё тысячи будут найдены. Потому умные дядьки и собирают системы мандатного контроля доступа — было бы всё так просто, никто б ими не занимался. Noexec, nosuid, restricted shell и пр. «олдскульные» методы обезопасивания системы — защита от дурака/скрипткидди, не более того. А лор попсеет, дуреет, потому в ветке security уже несколько лет нет никого из тех, кто хоть что-то знал про ИБ. Читайте профильные сайты по теме, pgpru тот же. Лор — место, где спецов уже нет ни по одному вопросу (когда-то были).

cryptos
()
Ответ на: комментарий от cryptos

Нет. Оболочка самописная на три команды.

rezedent12 ☆☆☆
() автор топика
Ответ на: Тред не читал от anonymous

Не. Всё таки и на долгосрочную перспективу лучше сделать отдельное приложение.

rezedent12 ☆☆☆
() автор топика
Ответ на: комментарий от rezedent12

классическое клиент-серверное приложение.

На мой взгляд это намного безопасней (если будет правильно реализовано), чем всякие restricted shell'ы и оболочки.

cryptos
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.