| View previous topic :: View next topic |
| Author |
Message |
GuN_jAcK
l33t
Joined: 23 Mar 2005
Posts: 834
Location: Prague, Czech Republic
|
 Posted: Thu Feb 14, 2008 2:35 pm Post subject: Un utente che può guardare SOLO la propria cartella home |
 |
|
Ragazzi è possibile fare in modo tale che un utente possa avere accesso solo alla propria home negandogli la directory radice?
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente. |
|
| Back to top |
|
 |
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Thu Feb 14, 2008 3:02 pm Post subject: |
|
|
uhmm.. mettendo rw- sulla sua home ? la x per le directory indica l'attraversamento: non so se valga anche verso la dir superiore. Uhmm.. no in generale direi che ho detto una sciocchezza... si accettano suggerimenti 
Coda |
|
| Back to top |
|
|
GuN_jAcK
l33t
Joined: 23 Mar 2005
Posts: 834
Location: Prague, Czech Republic
|
| Posted: Thu Feb 14, 2008 3:22 pm Post subject: |
|
|
non funziona..
ho fatto
chmod go-x /home/test
e non funziona :\
se faccio:
chmod u-x /home/test
l'user non entra proprio nella dir 
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente. |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Thu Feb 14, 2008 3:35 pm Post subject: Re: Un utente che può guardare SOLO la propria cartella home |
|
|
| GuN_jAcK wrote: | | Ragazzi è possibile fare in modo tale che un utente possa avere accesso solo alla propria home negandogli la directory radice? |
no e si.
Teoricamente ti basta togliergi il permesso di lettura (quello di esecuzione va lasciato o non potrà chiamare i programmi in path) a tutte le dir del livello superiore | Code: | | find / -type d | xargs chmod o-r |
per intenderci. Il problema è che poi alcuni DM e programmi dimm**** (gnome, openoffice, kde e via dicendo) la prendono a male e ti rinfacciano che la mancanza di fiducia che hai mostrato nei loro confronti non gli consente di discendere il path completo e quindi non possono visualizzarti neppure la dir corrente o si schiantano vergognosamente senza dir nulla.
Il permesso di scrittura invece lo puoi togliere senza problemi (o quasi, tmp deve rimanere accessibile e scrivibile per dirne una, altrimenti a cosa serve?!)
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est 
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
GuN_jAcK
l33t
Joined: 23 Mar 2005
Posts: 834
Location: Prague, Czech Republic
|
| Posted: Thu Feb 14, 2008 4:38 pm Post subject: |
|
|
in ambito server credo che non dia fastidio no?
vorrei evitare che la gente mi guardi i file di conf una volta che gli faccio l'account :\
che ne pensate?
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente. |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Feb 14, 2008 4:41 pm Post subject: |
|
|
| GuN_jAcK wrote: | in ambito server credo che non dia fastidio no?
vorrei evitare che la gente mi guardi i file di conf una volta che gli faccio l'account :\
che ne pensate? |
non va bene ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4810
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Thu Feb 14, 2008 5:03 pm Post subject: Re: Un utente che può guardare SOLO la propria cartella home |
|
|
| GuN_jAcK wrote: | | Ragazzi è possibile fare in modo tale che un utente possa avere accesso solo alla propria home negandogli la directory radice? |
e, naturalmente, negandogli l'accesso a /bin , /usr , /tmp , /var /etc , eccetera, eccetera ...
così non potrà conoscere le proprie impostazioni, eseguire programmi e via dicendo.
bè. la cosa migliore sarebbe non crearlo neppure, quell'utente .
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
GuN_jAcK
l33t
Joined: 23 Mar 2005
Posts: 834
Location: Prague, Czech Republic
|
| Posted: Thu Feb 14, 2008 5:14 pm Post subject: |
|
|
beh ma se il servizio che offro è proprio una shell in affitto sono diciamo costretto a creargli l'utente..
quale soluzione adotto?
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente. |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Thu Feb 14, 2008 5:28 pm Post subject: |
|
|
in realtà i vecchi unix prevedevano che root (ed ovviamente tutte le dir degli eseguibili) fosse rwxr-x--x per star tranquilli.
Non ti serve poter leggere il contenuto di una directory per chiamare un file in essa (per quello c'è l'attributo di esecuzione).
Poi sono arrivati i file manager grafici e la sicurezza se ne è andata nello scarico del gabinetto IMHO.
Se è solo una shell puoi permetterti di togliere il diritto di lettura quasi a tutte le directory oppure potresti pensare ad un chroot.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
lavish
Bodhisattva
Joined: 13 Sep 2004
Posts: 4296
|
| Posted: Thu Feb 14, 2008 9:32 pm Post subject: |
|
|
se devi dare shell in affitto ad utenti non fidati e che andranno ad usare solo determinati servizi, prendi in seria considerazione un framework di sicurezza come grsec con gestione di ruoli.
_________________
minimalblue.com | secgroup.github.io/ |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Fri Feb 15, 2008 6:04 pm Post subject: |
|
|
semiquoto, se proprio devi andare sul sicuro e devi comunque lasciare alcuni servizi attivi (per esempio interfaccia verso alcune porte tcp/ip a scopo didattico) andrei più su rsbac che grsec.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
GuN_jAcK
l33t
Joined: 23 Mar 2005
Posts: 834
Location: Prague, Czech Republic
|
| Posted: Sat Feb 16, 2008 3:03 am Post subject: |
|
|
grazie a tutti ora darò un'occhiata a questi software
_________________
Rispondi in maniera intelligente anche a chi ti tratta stupidamente. |
|
| Back to top |
|
|
lavish
Bodhisattva
Joined: 13 Sep 2004
Posts: 4296
|
| Posted: Sat Feb 16, 2008 9:48 am Post subject: |
|
|
| djinnZ wrote: | | semiquoto, se proprio devi andare sul sicuro e devi comunque lasciare alcuni servizi attivi (per esempio interfaccia verso alcune porte tcp/ip a scopo didattico) andrei più su rsbac che grsec. |
Io su grsec con rbac attivo
_________________
minimalblue.com | secgroup.github.io/ |
|
| Back to top |
|
|
CarloJekko
Veteran
Joined: 31 Mar 2005
Posts: 1315
Location: Baia Domizia :-)
|
| Posted: Sat Feb 16, 2008 5:30 pm Post subject: |
|
|
rbac... ?
c'è chroot apposta...
| Code: | chroot [OPZIONE] NUOVAROOT [COMANDO...]
o: chroot OPZIONE
Esegue il COMANDO con la root directory impostata a NUOVAROOT.
Access control can be implemented by constraining suspect processes to a sandbox environment; access to objects outside the sandbox is prevented.
The change root command chroot restricts the available part of the filesystem:
chroot <directory> <command>
Changes the apparent filesystem root directory from / to directory when command executes.
Only files below the new root are thereafter accessible
|
però a quel punto dovrai ricostruire anche la cartella /bin /sbin ecc... all'interno della cartello home dell'utente
altrimenti non avrà accesso a funzioni quali ls ps ecc....
ciau
_________________
C. |
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
| Posted: Sun Feb 17, 2008 11:56 pm Post subject: |
|
|
Tenendo conto che dovresti per fare una cosa funzionante mettere tutti i programmi che intendi lasciare eseguibili nelle home degli utenti, e chrootarle (o virtualizzarle, non so cosa vada piu' di moda al giorno d'oggi) ricorda che il tuo utente sara' incazzato per via delle limitazioni poste, e provera' a farti exploit a qualsiasi cosa. Poi, non pago, il tuo utente mettera' la password uguale al proprio nome, o utilizzera' password da babbazzo e quando loggera' il proprio psybnc tutti gli scriptkiddies dei varii canali fregheranno dapprima l'account a lui, e poi tenteranno di exploitare te. Di solito e' la regola 
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
| Back to top |
|
|
CarloJekko
Veteran
Joined: 31 Mar 2005
Posts: 1315
Location: Baia Domizia :-)
|
| Posted: Mon Feb 18, 2008 5:29 pm Post subject: |
|
|
| federico wrote: | | Tenendo conto che dovresti per fare una cosa funzionante mettere tutti i programmi che intendi lasciare eseguibili nelle home degli utenti, e chrootarle (o virtualizzarle, non so cosa vada piu' di moda al giorno d'oggi) ricorda che il tuo utente sara' incazzato per via delle limitazioni poste, e provera' a farti exploit a qualsiasi cosa. Poi, non pago, il tuo utente mettera' la password uguale al proprio nome, o utilizzera' password da babbazzo e quando loggera' il proprio psybnc tutti gli scriptkiddies dei varii canali fregheranno dapprima l'account a lui, e poi tenteranno di exploitare te. Di solito e' la regola |
ok abbiamo capito che non ti dobbiamo mai dare il computer della biblioteca 
_________________
C. |
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
| Posted: Mon Feb 18, 2008 6:18 pm Post subject: |
|
|
Ma no E' che secondo la mia esperienza con lo stesso genere di problema, i casini erano sempre i soliti
Comunque non ci avevo pensato, chissa' se alla mia biblioteca usano linux?
Fede
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Tue Feb 19, 2008 3:36 pm Post subject: |
|
|
A parte il fatto che il chroot è decentemente sicuro solo con grsec ed rsbac nel kernel il problema che ponevo era ben diverso. Se devi dare una shell per poter pasticciare con i file del web server e testare qualche script ad un altro admin (ed in numero limitato) è una cosa, a questo punto puoi pensare anche ad una banale rsh e gli puoi restringere quanto ti pare la visuale. Se devi dare l'accesso a non si sa quanti studenti che devono provare anche a scrivere programmi che accedono ai socket etc. grsec o rsbac servono allo scopo. Se devi usare dei browser grafici di sicuro richiedo la piena visibilità delle directory a partire da root.
Chroot è solo un grosso spreco di risorse IMHO.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4810
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Sun Feb 24, 2008 1:10 pm Post subject: |
|
|
da oggi potrebbe diventare tutto più facile.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
