http://wiki.linux-user.eu/index.php?action=history&feed=atom&title=Ograniczenie_Bash%27a 2026-06-03T02:32:24Z Historia wersji tej strony wiki MediaWiki 1.19.1 http://wiki.linux-user.eu/index.php?title=Ograniczenie_Bash%27a&diff=1031&oldid=prev 2012-11-04T08:41:02Z

<p>Napisanie artykułu</p> <p><b>Nowa strona</b></p><div>[[Category:Bezpieczeństwo]]<br /> == Ograniczenie Bash'a ==<br /> W tym miejscu postaram się wyjaśnić w jaki sposób można przypisać danemu użytkownikowi w systemie tylko te polecenia, które chcemy aby mógł wykonać w konsoli bash'a. Takie ograniczenie w pewnym stopniu pozwala na wprowadzenie kontroli nad tym kto co może zrobić w systemie.<br /> Poniższe kroki testowałem na systemach z rodziny RH.<br /> <br /> === Konfiguracja systemu ===<br /> Na początku tworzymy link symboliczny za pomocą polecenia [[ls]] do bash'a, możemy go nazwać jak kolwiek chcemy.<br /> ln -s /bin/bash /opt/nowy-bash<br /> Dodajemy użytkownika, którego domyślnym shell'em będzie nasz ''nowy-bash'' lub też zmieniamy domyślnego shell'a już istniejącemu użytkownikowi<br /> useradd test -s /opt/nowy-bash<br /> passwd test<br /> dodajemy katalog w którym będziemy umieszczać linki do programów shell'a<br /> mkdir /home/test/bin<br /> i dodajemy linki z istniejących programów shell'a do naszej nowej lokalizacji. Oczywiście linki tworzymy tylko do tych programów do których użytkownik ma mieć dostęp<br /> ln -s /bin/ping /home/test/bin/ping<br /> uniemożliwiamy zmianę pliku ''.bash_profile'' przez zwykłego użytkownika<br /> chown root. /home/cern/.bash_profile<br /> chmod 755 /home/cern/.bash_profile<br /> edytujemy plik .bash_profile użytkownika, któremu ograniczamy shell'a i zmieniamy ścieżkę zmiennej ''PATH'' do folderu z udostępnionymi poleceniami<br /> vim /home/test/.bash_profile<br /> PATH=$HOME/bin<br /> teraz możesz sprobować zalogować się na danego użytkownika, efekt powinien być podobny do poniższego<br /> su test<br /> cd<br /> -rbash: cd: restricted<br /> <br /> ls<br /> -rbash: ls: command not found<br /> <br /> ping wp.pl<br /> PING wp.pl (212.77.100.101) 56(84) bytes of data.<br /> 64 bytes from www.wp.pl (212.77.100.101): icmp_req=1 ttl=247 time=10.1 ms<br /> 64 bytes from www.wp.pl (212.77.100.101): icmp_req=2 ttl=247 time=10.1 ms<br /> 64 bytes from www.wp.pl (212.77.100.101): icmp_req=3 ttl=247 time=9.93 ms<br /> 64 bytes from www.wp.pl (212.77.100.101): icmp_req=4 ttl=247 time=10.2 ms<br /> 64 bytes from www.wp.pl (212.77.100.101): icmp_req=5 ttl=247 time=10.8 ms<br /> 64 bytes from www.wp.pl (212.77.100.101): icmp_req=6 ttl=247 time=14.0 ms<br /> 64 bytes from www.wp.pl (212.77.100.101): icmp_req=7 ttl=247 time=13.8 ms<br /> ^C<br /> --- wp.pl ping statistics ---<br /> 7 packets transmitted, 7 received, 0% packet loss, time 6007ms<br /> rtt min/avg/max/mdev = 9.937/11.316/14.075/1.707 ms<br /> <br /> <br /> &lt;br /&gt;&lt;google1 style=&quot;4&quot;&gt;&lt;/google1&gt;</div>

Slawek