Julius Plenz [EMAIL PROTECTED] schrieb am 25.04.04 17:26:39:
* Kai Hildebrandt [EMAIL PROTECTED] [2004-04-24 16:37]:
Ich habe versucht, die restricted bash als Login-Shell für einen
speziellen Benutzer einzurichten. Dazu habe ich ihm als Login Shell
/bin/rbash gegeben, was ein symbolischer Link auf bash ist.
Mal nicht auf das Problem bezogen: Ist eine rbash nicht ziemlich
unsinnig? Ich habe hier lokal das Experiment gemacht und einen User
erzeugt, dessen Shell ich auf /bin/rbash gesetzt habe.
Jetzt wurde ich per su - xy zu dem Benutzer und hatte ein rbash. Aber:
Ich habe Vim gestartet, dort :set shell=/bin/bash gesetzt, dann :shell
eingegeben und -- hatte eine Shell. Nix rbash, ein echte Bash, wenn
auch keine Login-Shell.
Das wirft jetzt eine Frage bei mir auf: Bringt so eine rbash überhaupt
etwas, wenn man sie so leicht umgehen kann?
Na klar bringt sie was:
* Es dürfen keine Shellvariablen geändert werden
* Das Verzeichnis darf nicht gewechselt werden
Die von dir genannten Einschränkungen werden auch von der Manpage als Warnung
aufgeführt, deshalb:
Man muss ein Extra bin-Verzeichnis anlegen und die PATH-Variable anpassen und zwar so,
dass keine Shell mehr erreichbar ist. Die Konfigdateien macht man readonly (owner:
root) und das Ganze ist dann schon recht sicher.
Hiesige Anwendung: Einem wenig zu vertrauendem User soll entfernter cvs-Zugang
eingerichtet werden, ohne das Zugriff auf das System erfolgt. pserver ist zu unsicher
und deswegen läuft es nun über ssh. Das einzige ausführbare Binary des Nutzers ist cvs
und es funktioniert. :-)
Gruß
Kai
___
... and the winner is... WEB.DE FreeMail! - Deutschlands beste E-Mail
ist zum 39. Mal Testsieger (PC Praxis 03/04) http://f.web.de/?mc=021191