Skip to content

7 Май 2013

80

Ubuntu: Jail user shell / Ограничение SSH доступа

jail-user-shell

Речь пойдет об ограничении доступа пользователю в Ubuntu. Да еще и так, чтобы точно ничего не сломал и даже не видел корневую систему. Вариантов организации довольно много. Можно использовать готовые громоздкие решения, можно chroot, можно обрезать шелл. Если пользователей для ограничения не много, а времени мало — подойдет последний способ. Речь пойдет о пакете lshell (Limited Shell).

:idea:  lshell — замена стандартного шела пользователя. Имеет не плохие возможности по ограничению, но не без минусов.

 

:!: Установка и подготовка:

Страница компонента: http://lshell.ghantoos.org

  1. apt-get install lshell
  2. Создадим пользователя, которого будем ограничивать
    useradd -d/home/human -s/bin/lshell human
  3. Для того чтобы писались логи (/var/log/lshell/human.log)
    usermod -aG lshell human

:!: Настройка:

Все настройки находятся тут: /etc/lshell.conf.

Конфиг содержит подробные комментарии по каждому параметру. Раскрою все подводные камни основных параметров.

  • env_path : лучше всего писать настоящий env_path, какой у вас на обычном аккаунте, чтобы ограниченный пользователь потенциально получил доступ ко всем командам. Узнать env_path на обычном аккаунте можно так: echo $PATH
  • path : перечисление каталогов, в которые будет доступ при использовании команды cd! Только cd! Если вы дадите пользователю доступ к чему-то, что умеет ходить по папкам — то этот параметр теряет смысл. То есть нельзя давать пользователю доступ к шелам. Забудьте про mc и bash.
  • allowed : перечисление всех строк, которые может вводить пользователь. Список тут конечно может быть большой. Интересно то, что пользователь не сможет писать и запускать скрипты. Если нужно пользователю дать возможность запустить скрипт — нужно прописывать тут название скрипта. Будьте очень внимательны при разрешении запуска скриптов на bash. Если у пользователя будут права на редактирование скрипта — то он получит 100% доступ ко всей системе через этот скрипт. Содержимое скрипта будет выполнятся уже в bash и lshell не будет проверять ничего что там выполняется. В скрипте можно будет выполнить все что угодно.

И самое главное, не забывайте про стандартный chmod в системе. Обязательно ограничьте права пользователя, особенно к запускающимся скриптам.

Если необходимо выдать права на серьезные команды, которым требуется рут — подключите возможности sudo и настройте соответственно доступ именно для этого пользователя.

:!: Шаблон моих настроек:

[human]
strict          : 0
warning_counter : -1
sftp            : 0
scp             : 0
allowed         : ['ls','echo','cd','ll','mcedit','mcview','cp','mv','rm','rmdir','wget','vi','vim','grep','find','top','free','cmake','mkdir','git','tar','mysqldump','mysql','make','screen','./start.sh','./stop.sh']
path            : ['/opt']
env_path        : '/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin'
forbidden       : -['&','|',';','>','<']
intro           : "== HELLO ==\nType '?' or 'help' to get the list of allowed commands"

 

Еще из рубрики Linux, Системное администрирование
, , , , ,
80 коммент.

Трекбэк / Пинг

  1. Crack Sealant
  2. TV/Film Music
  3. Free Music
  4. دوربین مدار بسته پویابین
  5. بهترین مارک دوربین مدار بسته
  6. Dance Music
  7. High Precision Dosing Peristaltic Pump
  8. survival site
  9. آموزش نصب دوربین های مدار بسته
  10. ebooks with resale rights
  11. Tutorials
  12. vibrator
  13. iphone photo timestamp
  14. Jc Caylen
  15. Garden Bridges
  16. دوربین مدار بسته پویابین
  17. دوربین مداربسته
  18. دوربین مداربسته
  19. booty plug
  20. masturbation benefits
  21. vibrating penis ring
  22. largest cardboard box
  23. making money from home
  24. http://www.magnetic.co.uk/Category/steel-metal-tape
  25. http://www.indigo.co
  26. iron stair parts
  27. Ban Gioc Waterfall
  28. دوربین مدار بسته پویابین
  29. نصب و اجرای دوربین مداربسته
  30. Polyurethane Tapes
  31. کابینت mdf
  32. free download for windows pc
  33. #spiritualism
  34. http://durl.me/faocfx
  35. chocolate
  36. pc games for windows 7
  37. pc games for windows 8
  38. نصب و اجرای دوربین مداربسته
  39. coffee beans Hawaii best gourmet kona
  40. free pc games download
  41. فروش دوربین های مدار بسته مخفی
  42. apps download for windows 7
  43. دوربین مدار بسته پویابین
  44. free download for windows 10
  45. بهترین مارک دوربین مدار بسته
  46. آموزش نصب دوربین های مدار بسته
  47. free download for windows pc
  48. pc games free download for pc windows
  49. pc games for windows 10
  50. BK-EBDP Supplier
  51. www.mucangchaitours.com
  52. anti skid tape
  53. Chanel shoes winter stock
  54. http://dastyle.cv.ua/index.php?option=com_k2&view=itemlist&task=user&id=350660
  55. نصب و اجرای دوربین مداربسته
  56. فروش دوربین های مدار بسته مخفی
  57. دوربین مدار بسته پویابین
  58. بهترین مارک دوربین مدار بسته
  59. آموزش نصب دوربین های مدار بسته
  60. tibiabot
  61. usuwanie dpf
  62. 동화세상에듀코
  63. Florida Resident Database
  64. fall fashion sale
  65. fall fashion sale
  66. cheap skin care devices
  67. fall fashion sale
  68. Ukulele
  69. צילום תדמית
  70. Andrew Wright Attorney
  71. پک آماده دوربین مدار بسته
  72. smtp server
  73. email processing
  74. دوربین های مدار بسته
  75. Wild Vibrator
  76. vibrators
  77. thick glass dildo
  78. Buy Sex Toy
  79. shoes
  80. 脱毛

Обсуждение закрыто.