Re: Segurança - Limitar execução de programas
Olá. Hum . Isso funciona em partes... Fiz isso certa vez com um script. Se o script fosse interrompido, o usuário tem o shell à sua disposição pois não dá o logout. Se o script executa até o fim, o logout é dado corretamente. Abraços, Sérgio - Iniciante no mundo Debian. == Hum.. uma dica: Se somente UM programa específico pode ser executado, porque não coloca este programa no .bashrc, para ser executado logo no login, e na linha de baixo um logoff? assim desta maneira, ao logar no servidor, o programa será executado, e ao terminar o programa, é efetuado um logoff automático, ficando o usuário sem acesso ao shell. Era assim que utilizávamos em uma empresa em que eu trabalhava, não sei se serve para o seu caso. == ___ Yahoo! doce lar. Faça do Yahoo! sua homepage. http://br.yahoo.com/homepageset.html -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Segurança - Limitar execução de programas
On 1/31/06, Thiago Arrais wrote: Em 31/01/06, Gentil de Bortoli Júnior escreveu: A melhor forma de fazer isso é adotando um ambiente chrootado. Dê uma estudada sobre chroot. Estive pensando em fazer isso. Mas apenas com chroot é possível impedir que um arquivo seja transferido e habilitado para execução? Para evitar que os usuários transfiram um arquivo e consigam executá-lo depois, sugiro que eles tenham acesso de escrita somente a partições montadas com a opção noexec. Isso pode não ser muito fácil já que muitos programas precisam ter acesso de escrita em algum lugar para guadar informações temporárias. Alguns diretórios que precisam ser considerados são: /tmp, /var/tmp, /var/lock e /dev/shm. Você está iniciando um interminável jogo de gato e rato, pois a dificuldade de tapar todos os buracos é grande. Eu sugiro que seja criada uma política de uso que deixe claro para o usuário o que ele pode e o que ele não pode fazer, além de deixar claro que ele pode ser punido e o tipo de punição que ele sofrer. -- Bruno de Oliveira Schneider http://www.dcc.ufla.br/~bruno/
Re: Segurança - Limitar execução de programas
Hum.. uma dica:Se somente UM programa específico pode ser executado, porque não coloca este programa no .bashrc, para ser executado logo no login, e na linha de baixo um logoff? assim desta maneira, ao logar no servidor, o programa será executado, e ao terminar o programa, é efetuado um logoff automático, ficando o usuário sem acesso ao shell. Era assim que utilizávamos em uma empresa em que eu trabalhava, não sei se serve para o seu caso.Em 01/02/06, Bruno de Oliveira Schneider [EMAIL PROTECTED] escreveu:On 1/31/06, Thiago Arrais wrote: Em 31/01/06, Gentil de Bortoli Júnior escreveu: A melhor forma de fazer isso é adotando um ambiente chrootado. Dê uma estudada sobre chroot. Estive pensando em fazer isso. Mas apenas com chroot é possível impedir que um arquivo seja transferido e habilitado para execução?Para evitar que os usuários transfiram um arquivo e consigamexecutá-lo depois, sugiro que eles tenham acesso de escrita somente a partições montadas com a opção noexec. Isso pode não ser muito fáciljá que muitos programas precisam ter acesso de escrita em algum lugarpara guadar informações temporárias. Alguns diretórios que precisamser considerados são: /tmp, /var/tmp, /var/lock e /dev/shm. Você está iniciando um interminável jogo de gato e rato, pois adificuldade de tapar todos os buracos é grande. Eu sugiro que sejacriada uma política de uso que deixe claro para o usuário o que elepode e o que ele não pode fazer, além de deixar claro que ele pode ser punido e o tipo de punição que ele sofrer.--Bruno de Oliveira Schneiderhttp://www.dcc.ufla.br/~bruno/-- Gerson Henrique DieselICQ - 6807620MSN - [EMAIL PROTECTED]
Segurança - Limitar execução de programas
Pessoal, Preciso dar acesso SSH para alguns usuários a um servidor. No entanto, a eles só deve ser permitido executar um único programa, juntamente com alguns outros do qual o programa principal depende. Como posso limitar os programas que os usuários podem executar? Como posso evitar que eles enviem programas para o servidor e os executem enqüanto, ao mesmo tempo, _é permitido_ enviar arquivos (de dados) pelo canal SSH? Posso bloquear o acesso deles ao programa chmod, que permite modificar a permissão de execução. Há outra forma de executar código (habilitar a permissão de execução de um arquivo) sem utilizar o chmod? Abraço, Thiago Arrais -- Mergulhando no Caos - http://thiagoarrais.blogspot.com Pensamentos, idéias e devaneios sobre desenvolvimento de software e tecnologia em geral
Re: Segurança - Limitar execução de programas
Thiago Arrais escreveu: Pessoal, Preciso dar acesso SSH para alguns usuários a um servidor. No entanto, a eles só deve ser permitido executar um único programa, juntamente com alguns outros do qual o programa principal depende. Como posso limitar os programas que os usuários podem executar? Como posso evitar que eles enviem programas para o servidor e os executem enqüanto, ao mesmo tempo, _é permitido_ enviar arquivos (de dados) pelo canal SSH? Posso bloquear o acesso deles ao programa chmod, que permite modificar a permissão de execução. Há outra forma de executar código (habilitar a permissão de execução de um arquivo) sem utilizar o chmod? Abraço, Thiago Arrais -- Mergulhando no Caos - http://thiagoarrais.blogspot.com Pensamentos, idéias e devaneios sobre desenvolvimento de software e tecnologia em geral Olá Thiago, É possível limitar a execução de programas sim, pra ilustrar vou dar um exemplo de como dou permissões a certos usuários. Nas máquinas que administro existe a necessidade de um usuário comum (chamado tecnico) alterar as configurações da rede (por padrão só o root tem permissões), então fiz o seguinte: dei permissão de escrita para o usuário tecnico nos arquivos /etc/network/interfaces e /etc/resolv.conf, e dei permissão para que ele reinicie o serviço de rede através do sudo, devidamente configurado em /etc/sudoers. Dentro desse arquivo pode-se permitir que usuários comuns executem determinados comandos como root, facilitando sua vida e mantendo a segurança. É possível transferir arquivos através do ssh também, através do comando scp [arquivolocal] [EMAIL PROTECTED]:/[diretorio] . Abraços -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Segurança - Limitar execução de programas
Em 31/01/06, Gentil de Bortoli Júnior[EMAIL PROTECTED] escreveu: A melhor forma de fazer isso é adotando um ambiente chrootado. Dê uma estudada sobre chroot. Estive pensando em fazer isso. Mas apenas com chroot é possível impedir que um arquivo seja transferido e habilitado para execução? Obrigado, Thiago Arrais -- Mergulhando no Caos - http://thiagoarrais.blogspot.com Pensamentos, idéias e devaneios sobre desenvolvimento de software e tecnologia em geral
Re: Segurança - Limitar execução de programas
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Thiago Arrais wrote: Preciso dar acesso SSH para alguns usuários a um servidor. No entanto, a eles só deve ser permitido executar um único programa, juntamente com alguns outros do qual o programa principal depende. Como posso limitar os programas que os usuários podem executar? Como posso evitar que eles enviem programas para o servidor e os executem enqüanto, ao mesmo tempo, _é permitido_ enviar arquivos (de dados) pelo canal SSH? Posso bloquear o acesso deles ao programa chmod, que permite modificar a permissão de execução. Há outra forma de executar código (habilitar a permissão de execução de um arquivo) sem utilizar o chmod? A melhor forma de fazer isso é adotando um ambiente chrootado. Dê uma estudada sobre chroot. No entanto, há uma outra alternativa. Você pode oferecer um shell mais restrito, com apenas algumas opções. []s - -- Gentil de Bortoli Júnior Chave GPG: http://gentil.bortoli.com.br/gpg There Is No Gene For The Human Spirit -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFD318nR/xCJbtXupkRAjXBAJ46YmX1UdkUutSQuBfs1NnVaIo3OwCfZ3Ze 7MrEyQlugUAuMK410elrVzI= =bZb3 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]