я дал нескольким товарищам шелл на своей машине (доступна из вне) с првами суперюзера - в принципе я им доверяю но червь сомнения меня гложет - могут неспециально уронить сервак - есть стандартные средства фрибсд для контроля действий юзверей?
Буду признателен за ответ!
>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>првами суперюзера - в принципе я им доверяю но червь сомнения
>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>фрибсд для контроля действий юзверей?
>Буду признателен за ответ!ну если у них uid==0 - то точно нет :)
может, посмотреть на sudo?
>>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>>првами суперюзера - в принципе я им доверяю но червь сомнения
>>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>>фрибсд для контроля действий юзверей?
>>Буду признателен за ответ!
>
>ну если у них uid==0 - то точно нет :)
>может, посмотреть на sudo?какое нах судо, да за выдачу account'ов c root'овыми привилегиями КОМУ-ТО
из inet - сразу расстрел на месте без суда и следствия.
>какое нах судо, да за выдачу account'ов c root'овыми привилегиями КОМУ-ТО
ну не кому то а хорошему человеку, это раз
>из inet - сразу расстрел на месте без суда и следствия.
во вторых эмоции в сторону - мне нужно решение поставленной задачи - если это в принципе невозможно - тогда так и скажите :)
>>какое нах судо, да за выдачу account'ов c root'овыми привилегиями КОМУ-ТО
>ну не кому то а хорошему человеку, это разгы-гы-гы, навеяло:
"он хороший и я положил его в нашу с женой кровать..."
а через несколько дней сообразил - нужно проконтролировать, а так
спать хочется...>>из inet - сразу расстрел на месте без суда и следствия.
>во вторых эмоции в сторону - мне нужно решение поставленной задачи -
>если это в принципе невозможно - тогда так и скажите :)
>вам невозможно и ну никаких эмоций, они чуть позже появятся у вас.
>>какое нах судо, да за выдачу account'ов c root'овыми привилегиями КОМУ-ТО
>ну не кому то а хорошему человеку, это раз
>>из inet - сразу расстрел на месте без суда и следствия.
>во вторых эмоции в сторону - мне нужно решение поставленной задачи -
>если это в принципе невозможно - тогда так и скажите :)
>
>Nu raz ti dal "хорошему человеку", togda po4emu "червь сомнения" "гложет" ?!
Vot imenno 4to vopros ne v tom horo6ij on 4elovek ili poslednaja svolo4, a v tom 4to "могут неспециально уронить сервак". Pri4em udarenije na vtoroje slovo, esli 4elovek deistvitelno horo6ij.
A v princepe ja s lavr'om soglasen, t.k. posle togo kak nespecialno 4to-to uronat ti smoze6 tolko razvodit rukami, 4itat logi v kotorih budut opisani ih nespecialnije dejstvija.
>>>какое нах судо, да за выдачу account'ов c root'овыми привилегиями КОМУ-ТО
>>ну не кому то а хорошему человеку, это раз
>>>из inet - сразу расстрел на месте без суда и следствия.
>>во вторых эмоции в сторону - мне нужно решение поставленной задачи -
>>если это в принципе невозможно - тогда так и скажите :)
>>
>>
>засунь их под jail и дай только самое необходимое
>Vot imenno 4to vopros ne v tom horo6ij on 4elovek ili poslednaja
>svolo4, a v tom 4to "могут неспециально уронить сервак". Pri4em udarenije
>na vtoroje slovo, esli 4elovek deistvitelno horo6ij.
>A v princepe ja s lavr'om soglasen, t.k. posle togo kak nespecialno
>4to-to uronat ti smoze6 tolko razvodit rukami, 4itat logi v kotorih
>budut opisani ih nespecialnije dejstvija.ок, вопрос тады закрыт
и нефига тогда везде орать что *nix круче некуда - вот ломанут и хрен узнаеш вообще что то...
а я то понадеялся на всеселие никсов ...
ладно.. переведу этих товарищей в гостевой доступ..
>>Vot imenno 4to vopros ne v tom horo6ij on 4elovek ili poslednaja
>>svolo4, a v tom 4to "могут неспециально уронить сервак". Pri4em udarenije
>>na vtoroje slovo, esli 4elovek deistvitelno horo6ij.
>>A v princepe ja s lavr'om soglasen, t.k. posle togo kak nespecialno
>>4to-to uronat ti smoze6 tolko razvodit rukami, 4itat logi v kotorih
>>budut opisani ih nespecialnije dejstvija.
>
>ок, вопрос тады закрыт
>и нефига тогда везде орать что *nix круче некуда - вот ломанут
>и хрен узнаеш вообще что то...
>а я то понадеялся на всеселие никсов ...
>ладно.. переведу этих товарищей в гостевой доступ..Pri4em tut *nix ?! Otvet mne na vorpos, kak prokontrolirovat/ograni4it deistvija polzovatela skazem v W2K ili NT u kotorogo jest pravada administratora i polnij dostup k sisteme ?
>Pri4em tut *nix ?! Otvet mne na vorpos, kak prokontrolirovat/ograni4it deistvija polzovatela
>skazem v W2K ili NT u kotorogo jest pravada administratora i
>polnij dostup k sisteme ?
а что history в никсах кто отменял? я даже по ним не могу глянуть (как рут) чем они занимались...
>>Pri4em tut *nix ?! Otvet mne na vorpos, kak prokontrolirovat/ograni4it deistvija polzovatela
>>skazem v W2K ili NT u kotorogo jest pravada administratora i
>>polnij dostup k sisteme ?
>а что history в никсах кто отменял? я даже по ним не
>могу глянуть (как рут) чем они занимались...man jail и хоть мега рута им там дай
>>Pri4em tut *nix ?! Otvet mne na vorpos, kak prokontrolirovat/ograni4it deistvija polzovatela
>>skazem v W2K ili NT u kotorogo jest pravada administratora i
>>polnij dostup k sisteme ?
>а что history в никсах кто отменял? я даже по ним не
>могу глянуть (как рут) чем они занимались...U4itivaja toboj vi6eskazannoje: "с првами суперюзера", oni sami smogut otmenit sebe/tebe/vsem vse 4to zahotat nespecialno :).
man lastcomm
man script
man last
man sudoi t.d.
>ок, вопрос тады закрыт
>и нефига тогда везде орать что *nix круче некуда - вот ломанутЭх, тоже вмешаюсь, :))). Чтобы не смогли ломать - не надо давать шелла вообще. Если есть хоть гостевой доступ - вероятность взлома выше в десятки раз.
>и хрен узнаеш вообще что то...
>а я то понадеялся на всеселие никсов ...Ну а ты что хотел? В качестве аналогии: положил деньги в сейф, ключ отдал другу, друг увел и деньги и жену, :))).
>ладно.. переведу этих товарищей в гостевой доступ..
Что бы случайно, как ты выразился, не уронили, но могли при желании что-то править, включи в группу wheel, на худой
>>ок, вопрос тады закрыт
>>и нефига тогда везде орать что *nix круче некуда - вот ломанут
>
>Эх, тоже вмешаюсь, :))). Чтобы не смогли ломать - не надо давать
>шелла вообще. Если есть хоть гостевой доступ - вероятность взлома выше
>в десятки раз.
>
>>и хрен узнаеш вообще что то...
>>а я то понадеялся на всеселие никсов ...
>
>Ну а ты что хотел? В качестве аналогии: положил деньги в сейф,
>ключ отдал другу, друг увел и деньги и жену, :))).
>
>>ладно.. переведу этих товарищей в гостевой доступ..
>
>Что бы случайно, как ты выразился, не уронили, но могли при желании
>что-то править, включи в группу wheel, на худойконец. А чтобы совсем быть спокойным, пусти пользователей только в домашний каталог. Ну ведь совсем не корректно давать рутовые права кому-то еще.
>Что бы случайно, как ты выразился, не уронили, но могли при желании
>что-то править, включи в группу wheel, на худой
Я кстати так с самого начала и сделал прописал их в группу wheel...
в лоб зайти по ссх рутом запрещено.. надо сначала юзером а потом su
а wheel чем то разве ограничен от рута? если и ограничен то на глаз не заметно..
>
>>Что бы случайно, как ты выразился, не уронили, но могли при желании
>>что-то править, включи в группу wheel, на худой
>Я кстати так с самого начала и сделал прописал их в группу
>wheel...
>в лоб зайти по ссх рутом запрещено.. надо сначала юзером а потом
>su
>а wheel чем то разве ограничен от рута? если и ограничен то
>на глаз не заметно..ну а попробуй. банально - нет доступа к критичным файлам, нет доступа к master.passwd, нет доступа к утилитам типа ipfw, не возможно поставить/удалить порт... Дальше перечислять? :)))
>
>>Что бы случайно, как ты выразился, не уронили, но могли при желании
>>что-то править, включи в группу wheel, на худой
>Я кстати так с самого начала и сделал прописал их в группу
>wheel...
>в лоб зайти по ссх рутом запрещено.. надо сначала юзером а потом
>su
>а wheel чем то разве ограничен от рута? если и ограничен то
>на глаз не заметно..тебе же массу грамотных советов дали:
- кроме проверенного напарника(исключительно по работе) - НЕКОМУ НЕ ДАВАЙ РУТОВЫХ привилегий, даже su(wheel)/sudo
- если уж так хочется порадовать хороших людей - сделай виртуальную машину
через jail, выдай рута и спи спокойно.
- крайний вариант, скрепя сердцем дай обычный account, с учетом что постоянно следишь за security правками и читаешь полезные списки рассылки
security, можешь даже обычного пользователя засадить в песочницу.
--------
При желании, можно много что отследить, в том числе и действия альтернативного рута, если у последнего меньше опыта и он не удаляет-чистит свои логи(при этом нужно иметь хорошую память и помнить или логгировать свои сеансы :). Иначе как минимум нужно поправить login:ls -la /usr/src/usr.bin/login/
и OpenSSH чтобы альтернативный root не сразу понял что его заходы
пишутся в дополнительное место в отличие от utmp, короче это придуманный
и ненужный геморрой, но сделать можно - вот только без ответа на вопрос: А ЗАЧЕМ?, потом поправить под себя соурсы shell'а, потом... и тд и тп... ;)
Поищи в инете кейлоггер под *nix и всё...
>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>првами суперюзера - в принципе я им доверяю но червь сомнения
>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>фрибсд для контроля действий юзверей?
>Буду признателен за ответ!
Когда мне нужно было логгировать _все_ действия пользователей, я принудительно запускал им программку script из .profile или еще откуданибудь, взависимоти от шелла. И потом в файле мог смотреть, что они делали, и что они видели на экране.
>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>првами суперюзера - в принципе я им доверяю но червь сомнения
>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>фрибсд для контроля действий юзверей?
>Буду признателен за ответ!Народ, а что вы паритесь :) ?
Установите в качестве шелла bash, затем
обратите внимание на файлик в каталоге /root/
называется он ".bash_history"
В этом файлике хранятся все набранные команды рута.
Товарищу посоветую дать команду vipw копирнуть нужное кол-во раз строчку с рутом, изменить имя на логины cвоих друзей, далее создать им диру /home/имя_юзера и там же в vipw махнуть диру рута на их диру
далее passwd имя_юзера, махаешь им пароль и все.
в их дирах будет такой же файл .bash_history
будешь там смотреть что они делали на серваке.---------
http://www.virus-net.ru
>>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>>првами суперюзера - в принципе я им доверяю но червь сомнения
>>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>>фрибсд для контроля действий юзверей?
>>Буду признателен за ответ!
>
>Народ, а что вы паритесь :) ?
>Установите в качестве шелла bash, затем
>обратите внимание на файлик в каталоге /root/
>называется он ".bash_history"
>В этом файлике хранятся все набранные команды рута.
>Товарищу посоветую дать команду vipw копирнуть нужное кол-во раз строчку с рутом,
>изменить имя на логины cвоих друзей, далее создать им диру /home/имя_юзера
>и там же в vipw махнуть диру рута на их диру
>
>далее passwd имя_юзера, махаешь им пароль и все.
>в их дирах будет такой же файл .bash_history
>будешь там смотреть что они делали на серваке.
>
>---------
>http://www.virus-net.ru"для контроля действий" - 4to podrazumevajet pod soboj aktivnoje u4astije v ograni4enii vozmoznostei polzovatelei, a ne prostaja konstatacija rezultatov ih raboti i putei dostezenija etih rezultatov (vazno znat 4to sdelal polzovatel takogo 4to ne4ajanno upalo vse ili 4ast). No lu46e vsego etogo ne dopustit vot nad etim mi tut i "паримся".
.......
> .... .bash_history
>будешь там смотреть что они делали на серваке.
>
>---------
>http://www.virus-net.ru
Что мне мешает удалить/изменить этот файл когда угодо (при выходе .bash_logout, по at, по cron) или воспользоваться другим шелом?
Все не предусмотришь.
Когда-то видел модуль к кернелу (или патч, уже не помню), который логировал все что вводилось в консольках ... ну конечно если юзерам дать рута, то найти и подправить этот лог не составит труда ...
З.Ы. Модуль был под Linux, под FreeBSD я думаю что-то подобное тоже есть ...
То ли тут администрация мат вырезает, то ли все тут такие культурные... я-то без трёхэтажного такое даже читать не мог.Какое всесилие Юниксов, когда в системе можно сделать что угодно вплоть до пересборки ядра со своим кодом? Всесилие - это возможность заставить систему делатоь то, что надо, и не делать того, чего не надо. А если ты считаешь, что надо дать хорошим людям делать всё, что им захочется (а права рута значат именно это), то можно только надеяться на то, что им не захочется ничего сломать... и в мозгах ничего не взглючит, а то патч бармина 'rm -Rf /' можно наложить за пару секунд. :-)
Кстати, логи можно спасти, если вести их на др.машине, где кроме syslogd ничего не работает (ну, по кр.мере, можно будет до момента, когда враг просечёт, что логи отсылаются туда, и прикроет - но свой логин он уже не скроет; хотя можно убить отсылку уже после того, как он выйдет из системы).
В history ничего не пишется в том случае, когда команды даются из deco и в ряде др.случаев.Если засадить юзеров в jail (ну или хотя бы в chroot), то они не смогут сделать того, для чего нужны права рута - администрить машину. Лично я бы дал им отдельную машину, не несущую полезной нагрузки - и пусть резвятся на ней сколько влезет (и то трафика могут накачать столько, что с провайдером не расплатишься).
>То ли тут администрация мат вырезает, то ли все тут такие культурные...
>я-то без трёхэтажного такое даже читать не мог.
>
>Какое всесилие Юниксов, когда в системе можно сделать что угодно вплоть до
>пересборки ядра со своим кодом? Всесилие - это возможность заставить систему
>делатоь то, что надо, и не делать того, чего не надо.
>А если ты считаешь, что надо дать хорошим людям делать всё,
>что им захочется (а права рута значат именно это), то можно
>только надеяться на то, что им не захочется ничего сломать... и
>в мозгах ничего не взглючит, а то патч бармина 'rm -Rf
>/' можно наложить за пару секунд. :-)
:) причем без права замены штрафом
>Кстати, логи можно спасти, если вести их на др.машине, где кроме syslogd
>ничего не работает (ну, по кр.мере, можно будет до момента, когда
>враг просечёт, что логи отсылаются туда, и прикроет - но свой
>логин он уже не скроет; хотя можно убить отсылку уже после
>того, как он выйдет из системы).
>В history ничего не пишется в том случае, когда команды даются из
>deco и в ряде др.случаев.
>
>Если засадить юзеров в jail (ну или хотя бы в chroot), то
>они не смогут сделать того, для чего нужны права рута -
>администрить машину. Лично я бы дал им отдельную машину, не несущую
>полезной нагрузки - и пусть резвятся на ней сколько влезет (и
>то трафика могут накачать столько, что с провайдером не расплатишься).
Ну, насколько я понимаю, юзерам дали рутовые права просто поиграться, а не машиной управлять, так что jail - за глаза и за уши бы хватило :) -с системой в песочнице можно играть до умопомрачения
2зачинатель_топика
Не знаю, что понимается под всесилием юникса. В отличие от wind-ов *nix не считают root-а идиотом и дают ему права делать с системой все, что он считает нужным. Система, видите ли разумная, сделанная разумными людьми в расчете на разумное же использование :)
>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>првами суперюзера - в принципе я им доверяю но червь сомнения
>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>фрибсд для контроля действий юзверей?
>Буду признателен за ответ!Ну если тебя устроет контроль в реальном режме времени
man watch
Будешь полностью видеть что в консоле творится
>>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>>првами суперюзера - в принципе я им доверяю но червь сомнения
>>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>>фрибсд для контроля действий юзверей?
>>Буду признателен за ответ!
>
>Ну если тебя устроет контроль в реальном режме времени
>man watch
>Будешь полностью видеть что в консоле творится
сорри за мой тупизм - но как посмотреть в какой именно консоли работает удаленный юзер?
даю su-2.05a# w
5:54PM up 3:08, 1 user, load averages: 0.02, 0.12, 0.09
USER TTY FROM LOGIN@ IDLE WHAT
user p0 IP 5:14PM - w
как узнать?Спасибо!
>>>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>>>првами суперюзера - в принципе я им доверяю но червь сомнения
>>>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>>>фрибсд для контроля действий юзверей?
>>>Буду признателен за ответ!
>>
>>Ну если тебя устроет контроль в реальном режме времени
>>man watch
>>Будешь полностью видеть что в консоле творится
>сорри за мой тупизм - но как посмотреть в какой именно консоли
>работает удаленный юзер?
>даю su-2.05a# w
> 5:54PM up 3:08, 1 user, load averages: 0.02, 0.12,
>0.09
>USER
> TTY FROM
> LOGIN@
> IDLE WHAT
>user
> p0 IP
> 5:14PM - w
>как узнать?
>
>Спасибо!host : / > w
5:05PM up 20 days, 5:39, 1 user, load averages: 0.00, 0.04, 0.06
USER TTY FROM LOGIN@ IDLE WHAT
pupkin p0 10.1.1.1 3:06PM - w
host : / > who
pupkin ttyp0 Jun 16 15:06 (10.1.1.1)otvet: ttyp0
>я дал нескольким товарищам шелл на своей машине (доступна из вне) с
>првами суперюзера - в принципе я им доверяю но червь сомнения
>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>фрибсд для контроля действий юзверей?
>Буду признателен за ответ!Поставь RSBAC. И настрой его так, как тебе нужно. Это поможет что бы не сделали что-то подобное rm -fR /
В простом мониторинге типа "ага, это пупкин сделал "rm -fR /", дам ему пинка под зад", не вижу смысла, если вы конечно не из SM товарищей :)
>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>фрибсд для контроля действий юзверей?Для FreeBSD встречал патчи которые ведут логи выполнения системного вызова execve, помоему даже в виде модуля было. URL не сохранил, google.com вам в помощь.
>>меня гложет - могут неспециально уронить сервак - есть стандартные средства
>>фрибсд для контроля действий юзверей?
>
>Для FreeBSD встречал патчи которые ведут логи выполнения системного вызова execve, помоему
>даже в виде модуля было. URL не сохранил, google.com вам в
>помощь.Внесу свои 5 копеек :)
Лавр конечно прав...
А модуль называеться cebr.
http://cerber.sourceforge.net/