Toon posts:

[FreeBSD] bash -r = rbash maar die heb ik niet...

Pagina: 1
Acties:

maandag 3 maart 2003 19:50

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
Hi,
Ik gebruik freebsd en ik wil graag wat restricties aan een aantal users geven.
Nu dacht ik aan bash -r
werkt perfect!
Maar hoe geef je iemand die shell?

gewoon met vipw dat -r er achter zetten werkt niet.
en de mapage geeft (and I quote)
If bash is started with the name rbash, or the -r option is supplied at invocation, the shell becomes restricted.
DUS! rbash als shell geven!
Ja mooi niet, die wordt dus niet meegeinstalleerd met de port..........

ik heb op dit moment maar exec bash -r in de .profile gezet en 'm alleen lezen gemaakt met als owner root
en dat werkt op zich wel hoor maar het is niet zoals het hoort natuurlijk...
een beetje slimme jongen komt daar wel doorheen lijkt mij

wat houd die rbash in? is dat echt een executable? of anders een script?
kan iemand dat script dan even posten? het kan nooit erg veel zijn als het zo is....

of anders een wat 'nettere' oplossing misschien? want de .profile is voor dit soort dngen niet echt een beste oplossing..

maandag 3 maart 2003 20:03

Acties:
  • AVL
  • Registratie: Januari 2000
  • Laatst online: 25-09-2022

AVL

OHMSS

code:
1
2

# cd /usr/local/bin
# ln -s bash rbash

En voila. Start rbash, en het effect is hetzelfde als bash -r.

[ Voor 30% gewijzigd door AVL op 03-03-2003 20:04 ]

"I'd rather have a bottle in front of me than a frontal lobotomy."

maandag 3 maart 2003 20:04

Acties:

Verwijderd

Probeer eens ln -s /usr/local/bin/bash /usr/local/bin/rbash. Bash kijkt naar $0 tijdens het opstarten, en als dat rbash is, zal die de restricted shell opstarten (ik heb het niet uitgeprobeerd though :P)
edit:

AVL was me voor :P

[ Voor 11% gewijzigd door Verwijderd op 03-03-2003 20:04 ]

maandag 3 maart 2003 21:33

Acties:

Verwijderd

Mag t eigenlijk niet vragen maar wat voor beperkingen kan je zoal opleggen met rbash? Kan je daarmee ook gebruikers chrooten of is het niet zo geavanceerd??

maandag 3 maart 2003 21:39

Acties:
  • odysseus
  • Registratie: Augustus 2000
  • Laatst online: 19:42

odysseus

Debian GNU/Linux Sid

Hij doet geen chroot, maar je kunt geen commando's geven met een '/' erin en dat soort dingen. Het is dus wel min of meer restricted, maar een vervanger van jail kun je het niet noemen :).

Leven is het meervoud van lef | In order to make an apple pie from scratch, you must first create the universe.

maandag 3 maart 2003 22:13

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
het is zo ongelofelijk restricted das niet gezond meer
dit account is ook puur voor iemadn die vanaf mijn bak met ssh door wil naar een andere bak
(korte uitleg, op me werk kunnen we alleen met poort 23 naar buiten, dus ik draai ssh op 23 en via mijn machine kannie dan door naar andere machines waar ssh gewoon op 22 draait)

ik heb dus een restricted bash gegeven met alleen ssh in z'n homedir (de executable dus)
en dat werkt :-)
hij kan echt HELEMAAL NIETS anders dan ssh.

nu ook nog de boel met login.conf beveiligd zodat ie alleen op werktijden in kan loggen :)

Tis niet dat ik 'm niet vertrouw hoor, tis gewoon wel leuk.

maareh bedankt voor die rbash tip..
ik dacht dus dat het een apparte executable was.....
thnx voor de tip
ik ga het even uitproberen.
----------------------------------------

Nou, het werkt dus niet :(
als ik gewoon rbash uitvoer werkt het wel
maar zet ik rbash als shell neer dan werkt het niet..
ik snap er geen fluit van....

[ Voor 13% gewijzigd door xzenor op 03-03-2003 22:22 . Reden: het werkt niet...... ]

dinsdag 4 maart 2003 09:46

Acties:

Verwijderd

Wat zegt je /var/log/messages ?? Kan namelijk zijn dat je een required shell moet invoerne bij de user. Dan zou je de rbash shell dus ook moeten invoeren bij: /etc/shells

woensdag 5 maart 2003 09:07

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
maar dan kan je ook via ftp inloggen.. en das nie de bedoeling...

woensdag 5 maart 2003 10:48

Acties:

Verwijderd

NIet als je de gebruiker in /etc/ftpusers neer zet. :) Of gewoon pureftpd gebruiken met virtual users. :)

woensdag 5 maart 2003 13:53

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
ftpusers....
wat een uitvinding :P
thnx

nu weer dat rbash proberen :)

edit:
en het rbash werkt nog steeds niet :(

[ Voor 31% gewijzigd door xzenor op 05-03-2003 13:56 ]

woensdag 5 maart 2003 14:05

Acties:

Verwijderd

probeer anders dit eens in /usr/local/bin/rbash te zetten:
code:
1
2

#!/bin/sh
exec /usr/local/bin/bash -r

woensdag 5 maart 2003 14:33

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
mjah dat werkt wel...
maar toch blijft het vreemd.....................
want vanaf de commandline werkt dat rbash dus wel.......

woensdag 5 maart 2003 14:46

Acties:

Verwijderd

waarschijnlijk omdat login symlinks volgt, en daardoor bash start ipv de symlink. Als die user alleen maar mag ssh'en, kun je natuurlijk ook een scriptje zoals dit gebruiken ipv rbash:
code:
1
2

#!/bin/sh
exec ssh user@host

Dan kan ie zelfs niet proberen om door rbash heen te breken :)

woensdag 5 maart 2003 15:22

Acties:
  • xzenor
  • Registratie: Maart 2001
  • Laatst online: 14-10-2022

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter
Verwijderd schreef op 05 March 2003 @ 14:46:
waarschijnlijk omdat login symlinks volgt, en daardoor bash start ipv de symlink.
heb ik aan gedacht, daarom heb ik geen 'ln' gedaan maar 'cp bash rbash'
Pagina: 1
Reageer