Restricted Shell gesucht

Dieses Thema im Forum "Arch Linux" wurde erstellt von SiS, 08.05.2009.

  1. #1 SiS, 08.05.2009
    Zuletzt bearbeitet: 08.05.2009
    SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Hallo,

    bin gerade am Absichern eines Arch Servers (erstmal nur Übungszwecke und nur im heimischen Netz).
    So ich habe einen User erstellt mit dem ich mich per SSH einloggen kann.
    Der einzige Zweck dafür ist aber per "su" zum Root zu werden.
    Andere Programme oder Zugriffe (vorallem außerhalb seines Home-Verzeichnisses) würde ich gerne sperren.
    Unter Debian gabs /bin/rbash...
    Gibts was vergleichbares unter Arch? Oder vielleicht was noch besseres? :)

    Danke schonmal...
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 aspire_5652, 08.05.2009
    aspire_5652

    aspire_5652 Tripel-As

    Dabei seit:
    02.01.2008
    Beiträge:
    198
    Zustimmungen:
    0
    Ja, rbash wäre auch das erste was mir einfallen würden. Gibts das nicht in den Quellen von Arch?
     
  4. #3 sim4000, 08.05.2009
    sim4000

    sim4000 Lebende Foren Legende

    Dabei seit:
    12.04.2006
    Beiträge:
    1.933
    Zustimmungen:
    0
    Ort:
    In meinem Zimmer
    Code:
    <root> (/home/sim4000) pacman -Ss shell
    extra/rssh 2.3.2-2
        A restricted shell for use with OpenSSH, allowing only scp and/or sftp
    Aber ohne Garantie, dass es das richtige ist. Habs nur beim suchen gefunden. :)
     
  5. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    @sim: rssh hatte ich auch schon gefunden. Aber das sieht eher danach aus, als wär das für scp bzw. sftp, also Dateiübertragungen...

    @aspire:
    Ne offensichtlich nicht. Auch im AUR findet sich nichts...
     
  6. hehejo

    hehejo blöder Purist

    Dabei seit:
    12.10.2003
    Beiträge:
    1.280
    Zustimmungen:
    0
    Ort:
    Stein (Mittelfranken)
    chroot

    Pack deinen User doch einfach in eine chroot-Umgebung und "installiere" dort nur die Programme die du nutzen willst.

    Aber sei da nicht zu restriktiv - auch auf einem Server kannst du als normaler User schon viel erledigen.
     
  7. #6 SiS, 09.05.2009
    Zuletzt bearbeitet: 09.05.2009
    SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Und wenn ich mich dann über diesen User zum Root machen will? Sitze ich dann immer noch im chroot oder hab ich dann Vollzugriff? Hab bisher noch nicht wirklich mit chroot gearbeitet...
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Ah selber draufgekommen...
    Ein einfaches "ln /bin/bash /bin/rbash" hats gebracht. Wenn bash als rbash aufgerufen wird wird es automatisch restricted.

    Aber wirklich was bringen tut das nicht...man kann zwar nicht mehr in andere Verzeichnisse wechseln aber Zugriff hat man trotzdem noch...

    Ich schau mir dann mal eher chroot an...

    Danke nochmal für die Antworten ;)
     
  8. #7 saeckereier, 10.05.2009
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Trag doch einfach su als shell ein ;-)
     
  9. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Danke! Klappt :)
    Ich hab glaub ich mal wieder zu kompliziert gedacht :D

    Sicherheitstechnisch müsste das ja denk ich auch in Ordnung sein, wenn nicht sogar besser oder nicht?
     
  10. #9 Gast1, 10.05.2009
    Zuletzt von einem Moderator bearbeitet: 10.05.2009
    Gast1

    Gast1 Guest

    IMHO bringt die ganze Aktion im Hinblick auf Sicherheit so oder so nichts.

    Welchen Sinn soll es haben einem normalen User rechte wegzunehmen, wenn der einzige Grund der "User"-shell ist, root zu werden?

    Als root kann er sicher sehr viel mehr Unsinn machen.

    //Edit: Unsinnigen Satz geändert:

    Sicherheitstechnisch ist su als login-shell auch kein Gewinn, denn nun muss der sich einloggende User als root arbeiten, egal, was er machen will und egal, ob er dazu root-Rechte benötigt oder nicht.

    Aber, da es aus Blickwinkel Sicherheit eh nur eine vernünftige Absicherung gibt, namentlich "da darf kein unberechtiger Nutzer reinkommen, egal mit welcher shell" sind wir wieder am Ausgangspunkt, welchen Sinn das ganze haben soll.
     
  11. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Ich hatte die Idee halt aus dem Securing Debian Howto. *klick*

    Sicherlich bringt es nicht wirklich viel, aber doch bestimmt schonmal ein bisschen.
     
  12. #11 Gast1, 10.05.2009
    Zuletzt von einem Moderator bearbeitet: 10.05.2009
    Gast1

    Gast1 Guest

    In Deinem Szenario bringt es gar nichts, im Gegenteil (siehe Edit meines letzten Posts).

    //Edit:

    Und in dem verlinkten HowTo steht auch nichts zu rbash, zumindest nicht im SSH-Abschnitt, wohl aber etwas zu SSH und chroot, nur ist das für Dein Szenario eben ungeeignet.
     
  13. #12 Aqualung, 10.05.2009
    Aqualung

    Aqualung Routinier

    Dabei seit:
    12.02.2008
    Beiträge:
    404
    Zustimmungen:
    0
    Eine restricted shell sollte es auch einfach mit

    Code:
    bash -r
    geben.
     
  14. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Gut im allgemeinen wird halt immer gesagt kein Root Login per SSH. Ich bezog mich halt vorallem auf den Teil "PermitRootLogin", deshalb wollte ich halt einen User mit dem man möglichst nichts machen kann. Ich denk nochmal drüber nach und informier mich noch ein bisschen...
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 Gast1, 10.05.2009
    Zuletzt von einem Moderator bearbeitet: 10.05.2009
    Gast1

    Gast1 Guest

    Stimmt ja auch.

    Hm, was hat das Eine denn mit dem anderen zu tun?

    Ich sehe da jedenfalls keinerlei Zusammenhang, welche Nachteile dieser "Stunt" (vor allem der mit /bin/su als loginshell) hat, wurde Dir ja schon in den vorherigen Postings (5 und 9) gesagt.

    Für mich ist das in etwa so wie

    "Wir nehmen dem Wachmann drüben aus Sicherheitsgründen mal lieber den Schlagstock und das Funkgerät weg, aber den Schlüssel zur Waffenkammer darf er behalten."

    Nur is es nun mal so, daß er eben den Schlüssel zur Waffenkammer braucht (root Passwort), wenn er seinen Job auch im Notfall erledigen will, er aber mit dem Schlagstock und Funkgerät sehr wahrscheinlich oft genug auskommt.

    Sinnvoller wäre es die Waffenkammer nur dann aufzuschliessen, wenn man sie auch wirklich braucht.
     
  17. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Hmm ja gut das klingt soweit eigentlich logisch. Ich werd mal drüber nachdenken, aber erst später (war in der Schule in Sankt Augustin. Wens interessiert -> Nachrichten gucken)
     
Thema:

Restricted Shell gesucht

Die Seite wird geladen...

Restricted Shell gesucht - Ähnliche Themen

  1. Mandriva startet »Restricted«-Repositorium

    Mandriva startet »Restricted«-Repositorium: Der Ersteller der Mandriva-Distribution haben mit dem »Restricted«-Repositorium ein neues Depot vorgestellt, das Pakete enthält, die mit...
  2. KDE -> Restricted Driver Manager

    KDE -> Restricted Driver Manager: Hi, ich suche unter KDE die Einstellung für: GNOME: System -> Administration -> Restricted Driver Manager Wer das unter KDE kennt bitte...
  3. linux-restricted-modules-2.6.15-23-386 Version?

    linux-restricted-modules-2.6.15-23-386 Version?: Hallo, ich verwende die madwifi-ng wlan Treiber aus dem Paket linux-restricted-modules-2.6.15-23-386. Wie bekomme ich heraus welche Version diese...
  4. [Erledigt] Shell-Skript lässt sich nicht mit Cron ausführen

    [Erledigt] Shell-Skript lässt sich nicht mit Cron ausführen: Hallo, ich hoffe ihr könnt mir helfen. Ich entwerfe im Moment ein Skript, welches den Callmonitor (Telnet) auf meiner FritzBox abfragt und wenn...
  5. Shell-Skript Datum in einer Datai suchen

    Shell-Skript Datum in einer Datai suchen: Hallo zusammen Ich komm eigentlich aus der Klicki-Bunti-Welt von Windows. Seit geraumer Zeit versuche ich meine Künste mit verschiedenen...