si evident poate oricand sa mounteze cu noexec /tmp si /home dar si atunci useru malefic poate sa-si faca sshd_config si keyurile in home si sa execute sshdul din /usr/sbin -> chmod o-x /usr/sbin/sshd dar asta s-ar putea sa saboteze privilege separationu saaau tot din iptables un allow cu owner --cmd-owner sshd -p tcp --sport 22 -j allow ca sa allow sshdul "privilegiat" si eventual si allow la output pt cmd-owner ssh ca sa se poata da cu ssh in afara :)
----- Original Message ----- From: "fram ursul polar" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Monday, October 20, 2003 6:55 PM Subject: [rlug] Re: cont fara ssh; editare grupuri > pai matchu ala il pune doar pe output ca sa blocheze outputu de la > sshdul_neprivilegiat :) > > ----- Original Message ----- > From: <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Monday, October 20, 2003 7:12 PM > Subject: [rlug] Re: cont fara ssh; editare grupuri > > > > On Mon, Oct 20, 2003 at 06:43:30PM +0300, fram ursul polar wrote: > > > string match SSH la iptables il cam opreste > > > > da, dar din pacate anumiti utilizatori trebuie sa poata sa faca ssh.. > > solutia este sa foloseasca iptables cu match si cu --uid-owner sau > > --gid-owner > > > > Si inca ceva: trebuie avut grija cum pune match-ul pentru ca altfel > s-ar > > putea sa ii opreasca si paginile de web care ar contine cuvantul ssh > :) > > > > Sebastian > > > > --- > > Detalii despre listele noastre de mail: http://www.lug.ro/ > > > > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ > --- Detalii despre listele noastre de mail: http://www.lug.ro/
