требуется сделать ограниченный shell для пользователя, чтобы тот не мог перемещаться по папкам, видеть их и изменять, сделал старт этого пользователя с /usr/bin/rksh, который запрещает команду cd, но в тоже время это обходится с помощью mc, ls и cat любых папок также доступен, как запретить на его эти комманды, особенно mc? .bash_profile и .bashrc в данном случае не работают, есть ли возможность изменить встроенные псевдонимы в rksh? Помогите плиз
А зачем собственно такая штука нужна??Потом... Как говорится на любую умную... найдется соответствующий болт.
ТЕ лазейка обязательно найдется. Такчто надо действовать наверняка...
А наверняка, это создать chroot окружение. Об этом много написано - смотрите в интернете. =)
>А зачем собственно такая штука нужна??
>
>Потом... Как говорится на любую умную... найдется соответствующий болт.
>ТЕ лазейка обязательно найдется. Такчто надо действовать наверняка...
>А наверняка, это создать chroot окружение. Об этом много написано - смотрите
>в интернете. =)
по поводу лазейки согласен, так как защищенные оболочки, как видно, не дают желаемого результата, но штука нужна, так как необходимо обеспечить доступ на сервер пользователю, которому необходимо ограничить права, и перемещение по серверу, в идеале в отдельном каталоге указывать команды, которые ему можно выполнять, думаю не у одного меня возникала такая проблема, по поводу chroot, хорошая идея, пробовал сделать, не получилось, скиньте мне необразованному ссылку по настройке ограниченного аккаунта в chroot, так как нашел только перемещение в chroot ДНС и Web сервера, пробовал по них сделать, но успехом не увенчалось
>требуется сделать ограниченный shell для пользователя, чтобы тот не мог перемещаться по
>папкам, видеть их и изменять, сделал старт этого пользователя с /usr/bin/rksh,
>который запрещает команду cd, но в тоже время это обходится с
>помощью mc, ls и cat любых папок также доступен, как запретить
>на его эти комманды, особенно mc? .bash_profile и .bashrc в данном
>случае не работают, есть ли возможность изменить встроенные псевдонимы в rksh?
>Помогите плизЗачем тогда вообще давать доступ???
>>требуется сделать ограниченный shell для пользователя, чтобы тот не мог перемещаться по
>>папкам, видеть их и изменять, сделал старт этого пользователя с /usr/bin/rksh,
>>который запрещает команду cd, но в тоже время это обходится с
>>помощью mc, ls и cat любых папок также доступен, как запретить
>>на его эти комманды, особенно mc? .bash_profile и .bashrc в данном
>>случае не работают, есть ли возможность изменить встроенные псевдонимы в rksh?
>>Помогите плиз
>
>Зачем тогда вообще давать доступ???jail
на злобу дня... http://www.samag.ru/cgi-bin/go.pl?q=articles;n=11.2006;a=04
ограничил ssh, установив пропатченные исходники openssh-4.2p1-chroot.tar.gz руководствуясь этим http://www.xakep.ru/post/29791/, добавив необходимые пакеты, все установилось, вот только не работает GSSAPIAuthentication (/etc/ssh/ssh_config line 44: Unsupported option "GSSAPIAuthentication")
создал пользователя, как указано в руководстве
psevdo:x:2003:100:User B:/home/chroot/./home/psevdo:/bin/bashвот что выдает при соединении:
ssh psevdo@192.168.0.1
/etc/ssh/ssh_config line 44: Unsupported option "GSSAPIAuthentication"
psevdo@192.168.0.41's password:
Last login: Fri May 25 08:14:48 2007 from 192.168.0.1
Connection to 192.168.0.1 closed.
притом ошибка GSSAPIAuthentication выводится и у обычных пользователей, но они соединяются нормальноотключал поддержку GSSAPIAuthentication в ssh_config и sshd_config, ошибка изсчезает, но результат тот же
в логах /var/log/secure проблем вроде бы нет
May 25 08:52:29 admin04 sshd[22324]: Accepted password for psevdo from 192.168.0.1 port 34413 ssh2
насколько я понимаю пакеты для GSSAPIAuthentication есть:
rpm -qa | grep gssapi
cyrus-sasl-gssapi-2.1.21-10
libgssapi-0.7-2.1
libgssapi-devel-0.7-2.1
помогите, в чем может быть проблема