|
TwojePC.pl © 2001 - 2024
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
Problem z linuxem i vfat32 .... Pomocy , XiSiO 6/09/01 08:47
Mam Red Hata 7.1 na dysku 4 Gb pdlaczylem 20 Gb vfat32 na druga tasiemke. W systemi widzi go jako hdd a pierwszy jako hda wiec wszszystko ok. Do pliku Fstab w /etc wpisuje linijke z montowaniem dodaje uprawnienia chyba wszystkie jakie sa ... czyli user,exec,dev,suid,rw 0 0. I tu sie zaczyna problem, nie moge rootem zmienic wlasciciela ani uprawnien do katalogow na nowym dysku, a normalny user nie moze nic tam nagrac ani zrobic..... co nalezy wpisac fstab by nadal miec vfat32 i moc go zlinkowac jako normalna partycje dla userow.
Pytanie 2
Co oznaczaja flagi w fstab ? (0 0, 1 1, 1 2) ?
Pytanie 3
Jak zrobic by uzytkownik nie mogl wyjsc poza katalog Home ?
Pytanie 4
Jak zrobic by uzytkownik mogl sie logowac tylko na ftp i nic wiecej...
Dziekuje wam za wszystkie odpowiedzi na te dluge i nudne pytania.
XiSiO."Przyjaźń - bezcenna za wszytko inne
zapłacisz adeną" (C) XiSiO - Odpowiedzi: , PKort 6/09/01 10:18
Do vfat i praw dostępu: tak ma być, przecież vfat nie obsługuje takich rzeczy.
Ad1. i Ad2: man /etc/fstab
Ad3. W ogólności nie da się tak zrobić - możesz co prawda pobawić się prawami dostępu, ale może to zaowocować tym, że użytkownik w ogóle nie będzie miał dostępu do jakichkolwiek zasobów - nawet własnych.
Ad4. w /etc/passwd wpisać shella jako /bin/falseHeavy Metal or no metal at all
whimps and posers - Leave the Hall !! - Niestety , XiSiO 6/09/01 12:26
co do ad1 jest taka mozliwosc, na razie nie wiem jak ale juz mi cos wychodzi w fstab wpisalem grupe uprawniona i uz zaczyna cos sie dziac bo maja dostep, na razie nie moge zmieniac praw ale to juz cos
ad2 udalo mi si ezrobic ze nie ma grupa prawa dostepu do czego kolwiek poza home ale nadal widza strukture a mi zalezy na jej ukryciu.
co do ad4 jestes w bledzie bo wpisanie false nie pozwala takze zalogowac sie na ftp.
ps. liczylem na konkretne wskazowki mana znam..."Przyjaźń - bezcenna za wszytko inne
zapłacisz adeną" (C) XiSiO - Co ty powiesz.... , PKort 6/09/01 12:41
Co do 4 to jesteś w błędzie - mam tak zrobione u siebie i na pewno działa - kwestia konfiguracji.
Co do 2 to się chyba nie da - albo widzą wszystkie katalogi albo w ogóle nie mają dostępu.
Co do 1 to nadal twierdzę, że mam rację - co najwyżej można żonglować prawami dostępu do punktu montowania, a nie do konkrentych plików/katalogów na partycji vfat.
A tak w ogóle, to skoro znasz mana, to po co się pytasz? Przecież tam jest wszystko (no, żeby być precyzyjnym - w manie i w HOWTO).Heavy Metal or no metal at all
whimps and posers - Leave the Hall !!
- jak to sie nie da ? , guma 6/09/01 13:56
ad1&2 moze tak ?
mount /dev/hdb1 -t vfat -o noexec -o umask=000 /mnt/windisk
co do ad4.: PKort ma racje ale jest jedno ale: dopisales aby /bin/false do /etc/shells ?? ale to jeden ze sposobow oczywiscie ...
co do ad3 to da sie to zrobic... najprostszy ale i najbardziej prosty do obejscia sposob to rbash:
restricted shell - very tiny howto
1. Po co "restricted shell"?
Chcemy umożliwić użytkownikom czytanie poczty, korzystanie z klienta ftp,
przeglądarki lynx itp. Nie chcemy aby użytkownik mógł wykonywać własne
programy, w prosty sposób przechodzić do innych katalogów itp.
2. Jakie rozwiązanie?
Możliwe jest użycie tzw: restricted shell, np. rbash. Aby użytkownik
korzystał z rbash należy zmienić mu shella za pomocą komendy chsh. Aby było
to możliwe wpierw musimy dodać /bin/rbash do /etc/shells.
W przypadku użycia rbash użytkownik nie może między innymi zmienić zmiennej
środowiskowej PATH, uruchamiać programów ze ścieżką w której znajduje sie
/, oraz zmieniać katalogów.
Aby umożliwić użytkownikowi wykonywanie tylko określonych programów należy:
a. Utworzyć osobny katalog np: /usr/local/users
b. Zmienić zmienna PATH na PATH=/usr/local/users
c. Zrobić linki w /usr/local/users do programów które użytkownik ma prawo
uruchamiać
Re: a:#mkdir /usr/local/users
Re: b: W pliku /etc/profile dodać na końcu:
if [ $SHELL == "/bin/rbash" ]; then
PATH=/usr/local/users
fi
Re: c:
#cd /usr/local/users
#ln -s /usr/bin/ftp ftp
#ln -s /usr/bin/pine pine
etc..
Oczywiście taką konfigurację możnaby łatwo "obejść" używając plików
.bash_profile, .bash_login, .profile, .bashrc, .bash_logout. Pliki te są
wykonywane od razu po odczytaniu pliku /etc/profile. W tym celu w katalogu
użytkownika tworzymy puste ww pliki i ustawiamy atrybut immutable. (jeżeli
już są to kasujemy wszystko co w nich jest). Uniemożliwi to zmianę tych
plików przez użytkownika (oczywiście jeżeli nie udostępnimy użytkownikowi
komendy chattr ;-)
#cd /home/luser
#touch .bash_profile
#touch .bash_login
#touch .bashrc
#touch .profile
#touch .bash_logout
#chattr +i .bash_profile
#chattr +i .bash_login
#chattr +i .bashrc
#chattr +i .profile
#chattr +i .bash_logout
Teraz użytkownik będzie miał dostęp tylko do poleceń określonych w
/usr/local/users (wiecej: patrz pkt3)
3. Problemy
Oczywiście nie jest to idealne rozwiązanie i nie uwolni administratora od
poprawnego zabezpieczenia swojego komputera. Należy pamiętać że istnieją
metody umożliwiające obejście restricted shell za pomocą innych programów
(np vi, find, błędy w innym oprogramowaniu). Nie mniej jest to pewne
utrudnienie i ograniczenie dla użytkownika. Przy takiej konfiguracji
powinniśmy albo całkowicie zablokować użytkownikówi dostęp do ftp, albo
ograniczyć dostęp tylko do swojego katalogu (jak np. w Proftpd)
4. Przed czym nas to nie zabezpieczy:
- przed oglądaniem zawartości katalogów takich jak /etc
- przed przeglądaniem plików takich jak /etc/passwd
5. Zabezpieczy przed uruchamianiem innych programów niż te które określimy.- To i tak nie załatwi sprawy , PKort 6/09/01 14:26
Albo ja nie rozumiem, o co chodzi. To, że nadasz uprawnienia punktowi montowania nie znaczy, że możesz nadawać uprawnienia plikom na vfat'cie - bo tego się zrobić nie da - to wynika z natury tego filesystemu.
A co do rbash to masz zupełną rację.Heavy Metal or no metal at all
whimps and posers - Leave the Hall !! - Dzieki :)))) , XiSiO 6/09/01 14:37
mam pytnaie co do ad 1 czy to normalne ze zmienia wlasnosc pliku za kazdym razem na root? pozatym dziala juz zapisywanie przez innych userow :))"Przyjaźń - bezcenna za wszytko inne
zapłacisz adeną" (C) XiSiO - Co zrobic jak sie nie ma rbash w /bin ? , XiSiO 6/09/01 18:54
????"Przyjaźń - bezcenna za wszytko inne
zapłacisz adeną" (C) XiSiO - Doinstalować. , PKort 6/09/01 20:13
Oczywiście.Heavy Metal or no metal at all
whimps and posers - Leave the Hall !! - ??? , XiSiO 7/09/01 08:37
a skad wziac ? jest na plycie z instalka ?"Przyjaźń - bezcenna za wszytko inne
zapłacisz adeną" (C) XiSiO - Prawie na pewno , PKort 7/09/01 10:34
Ale z tym gniotem RH nigdy nic nie wiadomo.Heavy Metal or no metal at all
whimps and posers - Leave the Hall !!
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
 |
|
|
|
