Re: User einsperren ohne jail

On Sat, Feb 20, 2010 at 09:36:15PM +0100, ela wrote:
> Hallo!
>
> On 12.02.2010 12:29, Marc Santhoff wrote:
> >Am Freitag, den 12.02.2010, 09:11 +0100 schrieb Polytropon:
> >>On Fri, 12 Feb 2010 08:47:45 +0100, Marc Santhoff<M.Santhoff(at)web.de>
> >>wrote:
>
> >>>Hmm, wo ich das so lese, könnte ichmir vorstellen $PATH auf $HOME/bin zu
> >>>beschränken
> [...]
>
> >>Ganz einfach: Was in $PATH steht, kann der jeweilige User
> >>ja "normal" ohne Pfad aufrufen.
> [...]
> >>insofern kann man dem User die "Suchhilfe" wegnehmen.
>
> >Stimmt, hatte ich nicht bedacht.
>
> Oder einfach $PATH selber neu setzen, und /usr/(local/|)/(s|)bin/ wieder
> einfügen.

Das kann man mit einer restricted Shell verhindern.
Die bash kann z.B. als rbash gestartet werden und erlaubt dann unter
anderem nicht das ausführen von Programmen mit vollem Pfad und
verhindert auch das ändern der PATH Variable.
Man legt dabei dann alle erlaubten Programme als Link in einen extra
Pfad, den man dann exklusive für den User setzt.
Alles in allem aber eine ziemlich aufwändige Sache, vor allem weil
manche Programme selber andere Programme ausführen können und somit das
ganze System wieder durchlöchern.
Sicher hingegen da schon mit MAC Programme komplett zu sperren, aber
auch das ist sehr viel Aufwand und wenn man was übersieht ist die
Sicherheit ebenso dahin.
Mit Jails hingegen kann man nicht mehr so viel falsch machen.

-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message