El 24 de enero de 2018 0:37:07 CET, Cristian Mitchell <[email protected]> escribió: >El 23 de enero de 2018, 20:32, Cristian >Mitchell<[email protected]> >escribió: > >> >> >> El 23 de enero de 2018, 19:40, Ramses<[email protected]> >escribió: >> >>> El 23 de enero de 2018 23:20:09 CET, Cristian Mitchell < >>> [email protected]> escribió: >>> >El 23 de enero de 2018, 15:26, Ramses<[email protected]> >>> >escribió: >>> > >>> >> El 23 de enero de 2018 18:24:23 CET, Matias Mucciolo < >>> >> [email protected]> escribió: >>> >> >On Tuesday, January 23, 2018 5:29:07 PM -03 Ramses wrote: >>> >> >> Hola a tod@s, >>> >> >> >>> >> >> Tengo instalado MySQL Server con su proceso habitual. >>> >> >> >>> >> >> Ahora quiero dar acceso a Clientes vía SSH, pero no quiero que >>> >esos >>> >> >usuarios >>> >> >> puedan ejecutar comandos de la Shell de Linux mediante el >comando >>> >> >"system" >>> >> >> de MySQL. >>> >> >> >>> >> >> Parece ser que no hay forma de impedir los Usuarios de MySQL >>> >puedan >>> >> >ejecutar >>> >> >> el comando "system" y la única forma de limitar el uso de los >>> >> >comandos del >>> >> >> Shell de Linux es enjaular (chroot jail) estos Usuarios SSH, y >>> >sólo >>> >> >copiar >>> >> >> en la jaula los comandos que les permito y sus librerías >>> >asociadas. >>> >> >> >>> >> >> Bien, tengo ya el entorno "chroot jail" configurado y el >Usuario >>> >SSH >>> >> >se >>> >> >> conecta. >>> >> >> >>> >> >> He copiado el fichero de arranque "/usr/sbin/mysql" en el >>> >directorio >>> >> >> "enjaulado". >>> >> >> >>> >> >> Con el comando "ldd /usr/sbin/mysql" averiguo las librerías >>> >asociadas >>> >> >y las >>> >> >> he copiado en el directorio "enjaulado". >>> >> >> >>> >> >> Ahora, cuando se conecta un Usuario "enjaulado" vía SSH y >ejecuta, >>> >> >por >>> >> >> ejemplo, "/usr/sbin/mysql -u root -p", MySQL pide la password, >>> >pero >>> >> >al >>> >> >> introducirla, da un error de socket diciendo que no encuentra >>> >> >> "/var/run/mysqld/mysqld.sock", y ahí estoy estancado... >>> >> >> >>> >> >> ¿Hay alguien que haya hecho esto y pueda comentarme qué pasos >me >>> >> >faltan por >>> >> >> hacer? >>> >> >> >>> >> >> >>> >> >> Gracias y saludos, >>> >> >> >>> >> >> Ramses >>> >> > >>> >> >obviamente se estan tratando de conectar mediante el socket >>> >> >que crea mysql y los clientes enjaulados no pueden acceder. >>> >> >creo que mysql tiene una opcion para que la "conexion" >>> >> >sea por tcp...eso deberia funcionar.. >>> >> > >>> >> >saludos >>> >> >Matias >>> >> >>> >> Matías, gracias por contestar. >>> >> >>> >> Pero, ¿sabes si tengo que copiar algún fichero de configuración, >como >>> >el >>> >> my.cnf a la "jaula"?. >>> >> >>> >> Hasta el momento sólo copiado programas y librerías al entorno >>> >"enjaulado". >>> >> >>> >> Y estoy buscando información tanto en Linux genérico y Debian, >como >>> >en >>> >> MySQL, y no encuentro lo que me aclare este tema... >>> >> >>> >> >>> >> P.D.: Disculpas Matías, el otro se me fue al personal... >>> >> >>> >> >>> >> Saludos y gracias, >>> >> >>> >> Ramses >>> >> >>> >> >>> >como te estas logueando a mysql? >>> >>> Cristian, ¿te refieres a esto que ponía en mi correo? >>> >>> El cliente se conecta vía SSH a un entorno "enjaulado" y ejecuta: >>> >>> /usr/sbin/mysql -u root -p >>> >> >> alguien comentaba esto >> si haces asi nada mas te estas conectado por socket el cual >nesesitas >> acceso >> pero si haces mysql -h localhost -u myname -ppassword mydb >> esto evita tu problema de sock >> >> >> >> >>> >>> >>> Saludos, >>> >>> Ramses >>> >>> >> >> >> -- >> MrIX >> Linux user number 412793. >> http://counter.li.org/ >> >> las grandes obras, >> las sueñan los santos locos, >> las realizan los luchadores natos, >> las aprovechan los felices cuerdo, >> y las critican los inútiles crónicos, >> >> >si no tu otra opción es > > >mount -o bind,noexec /var/run/mysqld/mysqld.sock (al chroot)
Cristian, buenos días, ¿Te refieres a ejecutar el comando "mount -o bind,noexec /var/run/mysqld/mysqld.sock" desde la sesión de un usuario "enjaulado" antes de lanzar el "/usr/sbin/mysql"? Creo haberlo ejecutado ayer y no me dejaba. Copié el "mount" y sus librerías asociadas a la jaula y al ejecutarlo me decía que sólo podía ejecutar ese comando el "root", y ahí me quedé. A parte del "mount" y las librerías, ¿habría que copiar a la jaula algún otro fichero?. Saludos y gracias, Ramses
