Julius Plenz <[EMAIL PROTECTED]> schrieb am 25.04.04 17:26:39: > > * Kai Hildebrandt <[EMAIL PROTECTED]> [2004-04-24 16:37]: > > Ich habe versucht, die restricted bash als Login-Shell f�r einen > > speziellen Benutzer einzurichten. Dazu habe ich ihm als Login Shell > > /bin/rbash gegeben, was ein symbolischer Link auf bash ist. > > Mal nicht auf das Problem bezogen: Ist eine rbash nicht ziemlich > unsinnig? Ich habe hier lokal das Experiment gemacht und einen User > erzeugt, dessen Shell ich auf /bin/rbash gesetzt habe. > > Jetzt wurde ich per su - xy zu dem Benutzer und hatte ein rbash. Aber: > Ich habe Vim gestartet, dort :set shell=/bin/bash gesetzt, dann :shell > eingegeben und -- hatte eine Shell. Nix rbash, ein echte Bash, wenn > auch keine Login-Shell. > > Das wirft jetzt eine Frage bei mir auf: Bringt so eine rbash �berhaupt > etwas, wenn man sie so leicht umgehen kann? > Na klar bringt sie was:
* Es d�rfen keine Shellvariablen ge�ndert werden * Das Verzeichnis darf nicht gewechselt werden Die von dir genannten Einschr�nkungen werden auch von der Manpage als Warnung aufgef�hrt, deshalb: Man muss ein Extra bin-Verzeichnis anlegen und die PATH-Variable anpassen und zwar so, dass keine Shell mehr erreichbar ist. Die Konfigdateien macht man readonly (owner: root) und das Ganze ist dann schon recht sicher. Hiesige Anwendung: Einem wenig zu vertrauendem User soll entfernter cvs-Zugang eingerichtet werden, ohne das Zugriff auf das System erfolgt. pserver ist zu unsicher und deswegen l�uft es nun �ber ssh. Das einzige ausf�hrbare Binary des Nutzers ist cvs und es funktioniert. :-) Gru� Kai _______________________________________________________________________ ... and the winner is... WEB.DE FreeMail! - Deutschlands beste E-Mail ist zum 39. Mal Testsieger (PC Praxis 03/04) http://f.web.de/?mc=021191
