Julius Plenz <[EMAIL PROTECTED]> schrieb am 25.04.04 17:26:39: > > * Kai Hildebrandt <[EMAIL PROTECTED]> [2004-04-24 16:37]: > > Ich habe versucht, die restricted bash als Login-Shell für einen > > speziellen Benutzer einzurichten. Dazu habe ich ihm als Login Shell > > /bin/rbash gegeben, was ein symbolischer Link auf bash ist. > > Mal nicht auf das Problem bezogen: Ist eine rbash nicht ziemlich > unsinnig? Ich habe hier lokal das Experiment gemacht und einen User > erzeugt, dessen Shell ich auf /bin/rbash gesetzt habe. > > Jetzt wurde ich per su - xy zu dem Benutzer und hatte ein rbash. Aber: > Ich habe Vim gestartet, dort :set shell=/bin/bash gesetzt, dann :shell > eingegeben und -- hatte eine Shell. Nix rbash, ein echte Bash, wenn > auch keine Login-Shell. > > Das wirft jetzt eine Frage bei mir auf: Bringt so eine rbash überhaupt > etwas, wenn man sie so leicht umgehen kann? > Na klar bringt sie was:
* Es dürfen keine Shellvariablen geändert werden * Das Verzeichnis darf nicht gewechselt werden Die von dir genannten Einschränkungen werden auch von der Manpage als Warnung aufgeführt, deshalb: Man muss ein Extra bin-Verzeichnis anlegen und die PATH-Variable anpassen und zwar so, dass keine Shell mehr erreichbar ist. Die Konfigdateien macht man readonly (owner: root) und das Ganze ist dann schon recht sicher. Hiesige Anwendung: Einem wenig zu vertrauendem User soll entfernter cvs-Zugang eingerichtet werden, ohne das Zugriff auf das System erfolgt. pserver ist zu unsicher und deswegen läuft es nun über ssh. Das einzige ausführbare Binary des Nutzers ist cvs und es funktioniert. :-) Gruß Kai _______________________________________________________________________ ... and the winner is... WEB.DE FreeMail! - Deutschlands beste E-Mail ist zum 39. Mal Testsieger (PC Praxis 03/04) http://f.web.de/?mc=021191
