Re: rbash als Loginshell?
Harald Weidner [EMAIL PROTECTED] schrieb am 25.04.04 00:22:40:
Ich benutze Debian sarge mit bash 2.05b.0(1).
Auf meinem Woody-System zeigt sich das selbe Verhalten
Version?
Die Bash erkennt an zwei Kriterien, dass sie im restricted mode laufen
soll: am Programmnamen rbash oder an der Option -r in der Kommandozeile.
...alles richtig (bei mir auch so)
Das komische kommt zuletzt:
Ein Kollege von mir hat mit bash-2.05a.0(1) mir einen Account auf seinem Server
eingerichtet.
In der ${MYHOME}/.bash_profile steht lediglich
PATH=/home/{MYUSER}/bin
...und es tut komischerweise! :-?
Ich habe das Problem aber auch in einer Mailingliste gefunden, allerdings ohne Lösung.
Man kann das Problem umgehen, indem man dem Nutzer eine normale bash gibt und in seine
Profile- und rc-Datei ein exec /bin/rbash schreibt, dann klappt's. Aber das ist
vielleicht dann nicht so sicher? Außerdem sieht es nach Flickwerk aus. :-(
Danke Gruß
Kai
Der WEB.DE Virenschutz schuetzt Ihr Postfach vor dem Wurm Sober.A-F!
Kostenfrei fuer FreeMail Nutzer. http://f.web.de/?mc=021158
Re: rbash als Loginshell?
Hallo,
Kai Hildebrandt [EMAIL PROTECTED]:
Auf meinem Woody-System zeigt sich das selbe Verhalten
Version?
Version der Bash? 2.05b-2woody3
Ein Kollege von mir hat mit bash-2.05a.0(1) mir einen Account auf seinem
Server eingerichtet.
In der ${MYHOME}/.bash_profile steht lediglich
PATH=/home/{MYUSER}/bin
...und es tut komischerweise! :-?
Ich glaube nicht, dass das mit der Bash zu tun hat. Vielleicht hat
er eine andere Version des SSHD, oder er hat UseLogin = yes in der
/etc/ssh/sshd_config gesetzt.
Man kann das Problem umgehen, indem man dem Nutzer eine normale bash
gibt und in seine Profile- und rc-Datei ein exec /bin/rbash schreibt,
dann klappt's. Aber das ist vielleicht dann nicht so sicher? Außerdem
sieht es nach Flickwerk aus. :-(
Das ist ziemliches Flickwerk und lässt sich auf mindestens zwei
Arten aushebeln. Erstens dadurch, dass ein User seine Dotfiles
selber editieren kann, auch wenn er unter rbash arbeitet. Also
wirft er einfach die exec's raus und hat wieder eine normale Bash.
Zweitens wird durch Eingabe von
ssh [EMAIL PROTECTED] /bin/sh
der Dotfile-Mechanismus komplett umgangen. (Wer's ausprobiert, sollte
sich nicht wundern, dass er keinen Prompt bekommt; arbeiten kann er
trotzdem.)
Gruß, Harald
--
Harald Weidner [EMAIL PROTECTED]
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Bringt rbash was? (was Re: rbash als Loginshell?)
* Kai Hildebrandt [EMAIL PROTECTED] [2004-04-24 16:37]: Ich habe versucht, die restricted bash als Login-Shell für einen speziellen Benutzer einzurichten. Dazu habe ich ihm als Login Shell /bin/rbash gegeben, was ein symbolischer Link auf bash ist. Mal nicht auf das Problem bezogen: Ist eine rbash nicht ziemlich unsinnig? Ich habe hier lokal das Experiment gemacht und einen User erzeugt, dessen Shell ich auf /bin/rbash gesetzt habe. Jetzt wurde ich per su - xy zu dem Benutzer und hatte ein rbash. Aber: Ich habe Vim gestartet, dort :set shell=/bin/bash gesetzt, dann :shell eingegeben und -- hatte eine Shell. Nix rbash, ein echte Bash, wenn auch keine Login-Shell. Das wirft jetzt eine Frage bei mir auf: Bringt so eine rbash überhaupt etwas, wenn man sie so leicht umgehen kann? Julius -- Julius Plenz | mutt 1.5.5.1 | irssi 0.8.9-1 | opera 7.23fin [EMAIL PROTECTED] | cicq 4.9.12 | screen 4.0.2-2 | lftp 2.6.12-1 www.plenz.com | vim 6.2-149 | zsh 4.1.1-14 | elinks 0.9.1-1 | evilWM 0.99.17 | firefox 0.8-3 | gnupg 1.2.4-4 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Bringt rbash was? (was Re: rbash als Loginshell?)
Julius Plenz [EMAIL PROTECTED] schrieb am 25.04.04 17:26:39: * Kai Hildebrandt [EMAIL PROTECTED] [2004-04-24 16:37]: Ich habe versucht, die restricted bash als Login-Shell für einen speziellen Benutzer einzurichten. Dazu habe ich ihm als Login Shell /bin/rbash gegeben, was ein symbolischer Link auf bash ist. Mal nicht auf das Problem bezogen: Ist eine rbash nicht ziemlich unsinnig? Ich habe hier lokal das Experiment gemacht und einen User erzeugt, dessen Shell ich auf /bin/rbash gesetzt habe. Jetzt wurde ich per su - xy zu dem Benutzer und hatte ein rbash. Aber: Ich habe Vim gestartet, dort :set shell=/bin/bash gesetzt, dann :shell eingegeben und -- hatte eine Shell. Nix rbash, ein echte Bash, wenn auch keine Login-Shell. Das wirft jetzt eine Frage bei mir auf: Bringt so eine rbash überhaupt etwas, wenn man sie so leicht umgehen kann? Na klar bringt sie was: * Es dürfen keine Shellvariablen geändert werden * Das Verzeichnis darf nicht gewechselt werden Die von dir genannten Einschränkungen werden auch von der Manpage als Warnung aufgeführt, deshalb: Man muss ein Extra bin-Verzeichnis anlegen und die PATH-Variable anpassen und zwar so, dass keine Shell mehr erreichbar ist. Die Konfigdateien macht man readonly (owner: root) und das Ganze ist dann schon recht sicher. Hiesige Anwendung: Einem wenig zu vertrauendem User soll entfernter cvs-Zugang eingerichtet werden, ohne das Zugriff auf das System erfolgt. pserver ist zu unsicher und deswegen läuft es nun über ssh. Das einzige ausführbare Binary des Nutzers ist cvs und es funktioniert. :-) Gruß Kai ___ ... and the winner is... WEB.DE FreeMail! - Deutschlands beste E-Mail ist zum 39. Mal Testsieger (PC Praxis 03/04) http://f.web.de/?mc=021191
rbash als Loginshell?
Hallo zusammen. Ich habe versucht, die restricted bash als Login-Shell für einen speziellen Benutzer einzurichten. Dazu habe ich ihm als Login Shell /bin/rbash gegeben, was ein symbolischer Link auf bash ist. Wenn ich mich nun als dieser Benutzer an einer Konsole oder via ssh einlogge, bekomme ich aber eine normale Login-Shell, die zwar rbash heißt, aber nicht eingeschränkt ist (sprich: eine normale bash). Wechsle ich hingegen von root via su (nicht su -) zu diesem Benutzer, funktioniert es. Schließen sich die Shell-Optionen Login Shell und Restricted Shell gegenseitig aus, z.B. als Sicherheitsfeature, dass man sich nicht selbst aussperrt? Ich benutze Debian sarge mit bash 2.05b.0(1). Wäre nett, wenn jemand von euch das mal bei sich testen könnte... Danke und Gruß Kai Der WEB.DE Virenschutz schuetzt Ihr Postfach vor dem Wurm Sober.A-F! Kostenfrei fuer FreeMail Nutzer. http://f.web.de/?mc=021158
Re: rbash als Loginshell?
Hallo, Kai Hildebrandt [EMAIL PROTECTED]: Wenn ich mich nun als dieser Benutzer an einer Konsole oder via ssh einlogge, bekomme ich aber eine normale Login-Shell, die zwar rbash heißt, aber nicht eingeschränkt ist (sprich: eine normale bash). Wechsle ich hingegen von root via su (nicht su -) zu diesem Benutzer, funktioniert es. Schließen sich die Shell-Optionen Login Shell und Restricted Shell gegenseitig aus, z.B. als Sicherheitsfeature, dass man sich nicht selbst aussperrt? Ich benutze Debian sarge mit bash 2.05b.0(1). Auf meinem Woody-System zeigt sich das selbe Verhalten, und ich vermute als Ursache eine viel banalere: Die Bash erkennt an zwei Kriterien, dass sie im restricted mode laufen soll: am Programmnamen rbash oder an der Option -r in der Kommandozeile. Beim Login mit SSH setzt der SSH Daemon aber den Namen der Shell auf -rbash. Das - Zeichen dient dazu, der Shell anzuzeigen, dass sie eine Login-Shell sein soll. Es verhindert aber, dass sie sich als rbash identifiziert. Selbiges gilt bei su -, nicht jedoch bei su, da su keine Login shell erzeugt. Eine restricted login shell bekommt man mit su username -c 'bash -r -l' Die Shell selber scheint also kein entsprechendes Sicherheitsfeature zu haben. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
