Toon posts:

(debian) lock user in home directory

Pagina: 1
Acties:
  • 391 views sinds 30-01-2008
  • Reageer

dinsdag 7 februari 2006 08:23

Acties:
  • HyperDevil
  • Registratie: Oktober 2003
  • Laatst online: 14-10 21:39

HyperDevil

Topicstarter
Beste Tweakers,

Na een paar uur googlen kom ik er toch niet uit, en vraag ik jullie om hulp.
Ik wil mijn gebruikers toegang geven to SSH, maar dan wil ik wel een beetje extra zekerheid hebben dat ze geen gekke dingen gaan doen in /.
Dus wil ik de gebruiker vast laten zitten in zijn/haar homedirectory.
Dus cd / mag dus niet werken...
Ik weet dat het kan als je bijvoorbeeld via Ftp inlogd, maar niet bij SSH.
Wie kan mij helpen?

dinsdag 7 februari 2006 08:27

Acties:

Verwijderd

als je de bash shell gebruikt, kun je ze met de -r optie een restricted shell geven, dan mogen ze bijna niks...

dinsdag 7 februari 2006 08:28

Acties:
  • TheBlasphemer
  • Registratie: September 2004
  • Laatst online: 29-10 18:03

TheBlasphemer

Houd er wel rekening mee dat als je een user restrict tot zijn of haar homedir dat veel dingen niet werken,
Ik heb bijvoorbeeld vaak dat op restricted shells het zelf compilen van programmas gewoon niet werkt omdat de include directory restricted is :/

[img=http://www.web2messenger.com/smallstatus/w2m/theblasp.png]

dinsdag 7 februari 2006 08:38

Acties:
  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Als de rechten goed staan heeft een user geen schrijfrechten in /, en kan je systeem dus niet onderuit halen. Dat hij kan zien welke dirs er in de root staan lijkt me niet interessant eigenlijk.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

dinsdag 7 februari 2006 08:39

Acties:
  • HyperDevil
  • Registratie: Oktober 2003
  • Laatst online: 14-10 21:39

HyperDevil

Topicstarter
Verwijderd schreef op dinsdag 07 februari 2006 @ 08:27:
als je de bash shell gebruikt, kun je ze met de -r optie een restricted shell geven, dan mogen ze bijna niks...
Waar moet ik deze -r plaatsen?

dinsdag 7 februari 2006 09:18

Acties:
  • Nitroglycerine
  • Registratie: Januari 2002
  • Laatst online: 22:49

Nitroglycerine

Autisme: belemmering en kracht

Effe een dirlisting van wortel:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

total 224
drwxr-xr-x   22 root     root         4096 Feb  2 17:10 .
drwxr-xr-x   22 root     root         4096 Feb  2 17:10 ..
-rw-r--r--    1 root     root            0 Jan 31 17:20 .autofsck
drwxr-xr-x    2 root     root         4096 Nov  1 09:08 bin
drwxr-xr-x    3 root     root         4096 Oct  5 17:16 boot
-rw-r--r--    1 root     root          315 Oct  5 16:39 chkconfig.sh
drwxr-xr-x   22 root     root       118784 Jan 31 17:20 dev
drwxr-xr-x   46 root     root         4096 Feb  2 17:08 etc
drwxr-xr-x    4 root     root         4096 Feb  2 09:37 home
drwxr-xr-x    2 root     root         4096 Jan 25  2003 initrd
drwxr-xr-x   10 root     root         4096 Nov  1 09:09 lib
drwxr-xr-x    3 root     root         4096 Feb  2 17:08 logs
drwx------    2 root     root        16384 Oct 14 14:24 lost+found
drwxr-xr-x    2 root     root         4096 Nov 11  2004 misc
drwxr-xr-x    5 root     root         4096 Oct 21 14:16 mnt
drwxr-xr-x   11 root     root         4096 Oct 14 15:23 nsr
drwxr-xr-x    2 root     root         4096 Jan 25  2003 opt
dr-xr-xr-x   40 root     root            0 Jan 31 18:20 proc
drwxr-x---    5 root     root         4096 Oct 14 15:54 root
drwxr-xr-x    2 root     root         8192 Oct 14 13:10 sbin
drwxrwxrwt    5 root     root         4096 Feb  3 04:02 tmp
drwxr-xr-x   17 root     root         4096 Jan 23 12:47 usr
drwxr-xr-x   19 root     root         4096 Feb  2 16:55 var


Zoals je ziet zal een normale gebruiker niets in / kunnen doen, ze kunnen enkel in tmp bestanden aanmaken. Maar ja, daar is tmp dan ook de rommelbak voor :). Als je bang bent dat ze die volpompen, zou je hier een monitoringscript voor kunnen maken wat bij bijv 50% gebruik van /tmp gaat piepen.

Ook in /etc staan de dingen normaal gesproken gesloten voor gewone gebruikers. Geld ook voor /sbin (waar dingen als init e.d. staan). Zoals je geen normale gebruiker lid maakt van de groep root (wat je eigenlijk NOOIT moet doen, sudo is je vriend :) ) ben je vrij veilig.

Hier kon uw advertentie staan

dinsdag 7 februari 2006 09:25

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 20:00

Wilke

HyperDevil schreef op dinsdag 07 februari 2006 @ 08:23:
Dus cd / mag dus niet werken...
Waarom niet? Is het niet de bedoeling dat je programma's kunt gebruiken die op het systeem staan? Uiteraard kan een gewone gebruiker toch al niets wijzigen buiten z'n eigen homedir, dus hoe geeft dit extra veiligheid?

Als je niet buiten je homedir kunt komen, kun je namelijk ook geen enkel prog opstarten...

dinsdag 7 februari 2006 09:26

Acties:
  • Gertjan
  • Registratie: Oktober 2001
  • Laatst online: 09-09 17:11

Gertjan

mmmm, beer...

Waar jij naar op zoek bent is een jail- of chrooted-environment. Het opzetten hiervan is niet makkelijk, maar je users kunnen helemaal niks buiten hun home-dir, omdat /home/$user hun root geworden is. Een howto is bijvoorbeeld deze, of zoek op Google naar jail of chroot.

dinsdag 7 februari 2006 09:32

Acties:
  • HyperDevil
  • Registratie: Oktober 2003
  • Laatst online: 14-10 21:39

HyperDevil

Topicstarter
Kijk dat heeft goed geholpen nu weet ik wat meer :)
Maar nog steeds begrijp ik niet helemaal hoe de groepen werken in linux.
Ik wil alle normale gebruikers in de groep Users stoppen, maar krijg ik dan geen problemen dat mensen elkaars homedir gaan lezen?
Nu maakt debian standaard voor elke user een groep aan wat het nou niet echt overzichtelijk maakt.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:lars
fax:x:21:
voice:x:22:
cdrom:x:24:lars
floppy:x:25:lars
tape:x:26:
sudo:x:27:
audio:x:29:lars
dip:x:30:
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:lars
sasl:x:45:
plugdev:x:46:lars
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
crontab:x:101:
Debian-exim:x:102:
lars:x:1000:


zoveel groepen maakt het nou ook niet echt overzichtelijk..
Welke daarvan kunnen eigenlijk verwijdert worden?

dinsdag 7 februari 2006 10:21

Acties:
  • sphere
  • Registratie: Juli 2003
  • Laatst online: 01:20

sphere

Debian abuser

Je lijkt mijn schoonmoeder wel. Die heeft 30G vrij op een 40G schijf, maar pleurt eens in de zoveel tijd random bestanden weg, uit de Windows dir, omdat die vast geen nut hebben. :X

Die entries zijn allemaal nuttig.

http://stackoverflow.com/questions/1732348/regex-match-open-tags-except-xhtml-self-contained-tags/1732454#1732454

dinsdag 7 februari 2006 10:33

Acties:
  • Nitroglycerine
  • Registratie: Januari 2002
  • Laatst online: 22:49

Nitroglycerine

Autisme: belemmering en kracht

Alles onder groupID 100 is nodig, no-group ook behouden. Enige group die eruit zou mogen is lars. Maar laat me raden, dat ben je zelf? :+

Hier kon uw advertentie staan

dinsdag 7 februari 2006 12:35

Acties:
  • HyperDevil
  • Registratie: Oktober 2003
  • Laatst online: 14-10 21:39

HyperDevil

Topicstarter
Nitroglycerine schreef op dinsdag 07 februari 2006 @ 10:33:
Alles onder groupID 100 is nodig, no-group ook behouden. Enige group die eruit zou mogen is lars. Maar laat me raden, dat ben je zelf? :+
Lol idd.
Ik probeer mijn debian systeem zo leeg mogelijk te maken..
Minder onderdelen minder problemen :)

dinsdag 7 februari 2006 12:38

Acties:
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 02-11 12:52

Robtimus

me Robtimus no like you

HyperDevil schreef op dinsdag 07 februari 2006 @ 09:32:
Maar nog steeds begrijp ik niet helemaal hoe de groepen werken in linux.
Ik wil alle normale gebruikers in de groep Users stoppen, maar krijg ik dan geen problemen dat mensen elkaars homedir gaan lezen?
Wel als je de user directories leesbaar maakt voor de groep.

Ik weet niet wat je weet van rechten, maar je hebt 3 niveaus: eigenaar, groep, iedereen. Als de user directories dus 700 (of 701 als je user directories via Apache wilt) rechten geeft mag de eigenaar alles, de rest niks (met 701 mag iedereen wel de directory in maar dan kunnen ze geen listing krijgen. Apache heeft dit nodig om ~/public_html in te kunnen aangezien die al weet hoe die directory heet).

More than meets the eye
There is no I in TEAM... but there is ME
system specs

dinsdag 7 februari 2006 13:03

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 20:00

Wilke

HyperDevil schreef op dinsdag 07 februari 2006 @ 12:35:
Ik probeer mijn debian systeem zo leeg mogelijk te maken..
Minder onderdelen minder problemen :)
Hangt er van af hoe onmisbaar de onderdelen zijn die je verwijdert.

Op zich een interessante manier om meer te leren over Linux, maar ik hoop dat je backups en een installatie-CD bij de hand hebt.

dinsdag 7 februari 2006 13:04

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

HyperDevil schreef op dinsdag 07 februari 2006 @ 12:35:
[...]


Lol idd.
Ik probeer mijn debian systeem zo leeg mogelijk te maken..
Minder onderdelen minder problemen :)
Andersom. Minder onderdelen Meer problemen, omdat je opeens onderdelen mist.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 7 februari 2006 13:11

Acties:
  • Nitroglycerine
  • Registratie: Januari 2002
  • Laatst online: 22:49

Nitroglycerine

Autisme: belemmering en kracht

Wat je het beste kunt doen om de userdirs goed dicht te zetten, zodat enkel gebruikers bij hun eigen dir kunnen, is OF iedere gebruiker een eigen groep te geven, OF de homedirs enkel voor de gebruiker toegankelijk te maken (dus in /home (of waar je userdirs staan) chmod 700 * ).
Zorg dat enkel de gebruikers van sudo gebruik kunnen maken die er gebruik van moeten maken. Met sudo kun je afzonderlijke rechten toekennen aan gebruikers - je kunt zo admins, powerusers en gewone gebruikers instellen.

Oh, en zorg dat je regelmatig je systeem bijwerkt met de laatste patches. Zo voorkom je dat je exploits te lang open laat staan.

[ Voor 12% gewijzigd door Nitroglycerine op 07-02-2006 13:12 ]

Hier kon uw advertentie staan

dinsdag 7 februari 2006 14:49

Acties:
  • HyperDevil
  • Registratie: Oktober 2003
  • Laatst online: 14-10 21:39

HyperDevil

Topicstarter
Nitroglycerine schreef op dinsdag 07 februari 2006 @ 13:11:
Wat je het beste kunt doen om de userdirs goed dicht te zetten, zodat enkel gebruikers bij hun eigen dir kunnen, is OF iedere gebruiker een eigen groep te geven, OF de homedirs enkel voor de gebruiker toegankelijk te maken (dus in /home (of waar je userdirs staan) chmod 700 * ).
Zorg dat enkel de gebruikers van sudo gebruik kunnen maken die er gebruik van moeten maken. Met sudo kun je afzonderlijke rechten toekennen aan gebruikers - je kunt zo admins, powerusers en gewone gebruikers instellen.

Oh, en zorg dat je regelmatig je systeem bijwerkt met de laatste patches. Zo voorkom je dat je exploits te lang open laat staan.
Ik geef de gebruiker zelf 100% toegang tot zijn eigen map, en de groep users alleen toegang tot /home.
Maar waarom zou ik sudo willen gebruiken? zijn er voordelen aan ipv. een gewoon dichtgetimmerd root account?

:) en ja ik ben een webserver aan het opzetten, eerst via VMware en dan pas op de echte machine.!
Dus de cd image heb ik altijd bij de hand !

dinsdag 7 februari 2006 15:09

Acties:
  • psyBSD
  • Registratie: April 2004
  • Laatst online: 02-01-2021

psyBSD

Hates 0x00 bytes

CyBeR schreef op dinsdag 07 februari 2006 @ 13:04:
[...]


Andersom. Minder onderdelen Meer problemen, omdat je opeens onderdelen mist.
Niet helemaal waar.

Als je minder onderdelen hebt is het makkelijker om het overzicht te bewaren.

| Olympus OM-D EM10 mk2 | m.Zuiko 14-42mm f/3.5-5.6EZ | m.Zuiko 40-150mm f/4-5.6 R | m.Zuiko 60mm f/2.8 | 2x Godox v860 | Godox X1 |

dinsdag 7 februari 2006 15:43

Acties:
  • Super_ik
  • Registratie: Maart 2001
  • Laatst online: 20:56

Super_ik

haklust!

als je echt minimaal wilt, kun je de linuxFromScratch paginas lezen.
en dan alleen een kernel, bootloader, uclibc en busybox installeren. das pas minimalisties :P
beetje tweaken en tunen en je zit onder de 2 mb :)
dan kun je met dropbear je ssh server draaien.

maar verder kun je bijvoorbeeld met 'ls -l' zien wie welke rechten heeft in een dir. en dan kun je geliijk zien dat mensen uit 1 group niet in elkaars home dir kunnen kijken :)

8<------------------------------------------------------------------------------------
Als ik zo door ga haal ik m'n dood niet. | ik hou van goeie muziek

woensdag 8 februari 2006 10:58

Acties:
  • HyperDevil
  • Registratie: Oktober 2003
  • Laatst online: 14-10 21:39

HyperDevil

Topicstarter
Ik heb nog 1 vraagje. :)
Als ik met SSH inlog op mijn machine, wordt er automatisch weergegeven wat voor kernel etc de server op draait.
(Linux beta 2.6.8-2-386 #1 Tue Aug 16 12:46:35 UTC 2005 i686 GNU/Linux)
Als ik deze regel uit de /etc/motd haal komt deze automatisch terug.
In mijn SSHD config staat showmotd gewoon uit.
Hoe krijg ik deze weg?

woensdag 8 februari 2006 11:09

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

psyBSD schreef op dinsdag 07 februari 2006 @ 15:09:
[...]

Niet helemaal waar.

Als je minder onderdelen hebt is het makkelijker om het overzicht te bewaren.
Dat is wel zo als je weet wat je doet, maar als dat niet zo is.. :)

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 8 februari 2006 11:10

Acties:
  • sariel
  • Registratie: Mei 2004
  • Laatst online: 22-05-2024

sariel

Wat maakt het uit dat ze zien wat hun server draait?

/etc/motd wijzigen.

En deze wordt iedere reboot netjes opnieuw opgebouwd.

Als je in de /etc/default/rcS "EDITMOTD" op "no" zet, stopt ie met dat gedoe.

[ Voor 48% gewijzigd door sariel op 08-02-2006 11:15 ]

Copy.com

woensdag 8 februari 2006 11:14

Acties:
  • sariel
  • Registratie: Mei 2004
  • Laatst online: 22-05-2024

sariel

CyBeR schreef op dinsdag 07 februari 2006 @ 13:04:
[...]


Andersom. Minder onderdelen Meer problemen, omdat je opeens onderdelen mist.
Tsja, maar dan installeer je die onderdelen, en alleen die onderdelen.

Als je een complete default installatie van Debian neemt, met alle software, dan heb je een volle schijf met zooi die je niet nodig hebt, niet gebruikt, en mogelijkerwijs (waarschijnlijk zelfs) gaten bevatten.

Als je zo min mogelijk installeerd, heb je:

- Een veiliger systeem (minder toegangen tot je server die gehackt kunnen worden)
- Een sneller systeem (geen overbodige zut die ook CPU en geheugen gebruiken)
- Een overzichtelijker systeem (Geen troep die je ook moet configgen, omdat het anders misschien problemen geeft)
- Meer schijfruimte (kan je tenminste je divx'en of klanten kwijt)

Copy.com

woensdag 8 februari 2006 18:11

Acties:
  • Keeper of the Keys
  • Registratie: Augustus 2002
  • Laatst online: 15-09 21:18

Keeper of the Keys

IceManX schreef op dinsdag 07 februari 2006 @ 12:38:
[...]
(...) (met 701 mag iedereen wel de directory in maar dan kunnen ze geen listing krijgen. Apache heeft dit nodig om ~/public_html in te kunnen aangezien die al weet hoe die directory heet).
Als ik me niet vergis maakt het feit dat de groep 0 rechten heeft dat alle leden van de groep de map niet in kunnen, apache en andere programma's die lid zijn van andere groepen maar _niet_ van de groep aan welke de map behoort kunnen er wel in.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq