Настройка безопасности.
От: alex_mah Россия www.elsy.ru
Дата: 22.05.15 12:44
Оценка:
Доброго всем.

Возник такая задача:

Система Дебиан или Слакварь.
Сложилось исторически так, что имеется пользователь, который монтирует на ведущей машине по sshfs некий каталог, расположенный в "/" для получения разнообразных конфигов и обмена файлами.
Типа этакая звезда.
При этом он может залогиниться и получить доступ к консоли, а так же шариться по другим каталогам системы.
Вот эту возможность шариться где попало и запускать то, что ему не положено хотелось бы у него отобрать, не сломав при этом возможность монтирования того каталога в корне.

Если указать ему в качестве шелла /sbin/nologin, то пропадает возможность логиниться через winscp.

Переходить на sftp очень не хочется, потребуется большая переделка всякого автоматизированного старья.
Может получится обойтись малой кровью?
На ведущей машине для этих целей можно делать все, что угодно.

Я в админстве линуксов не очень, помогите, товарищи.
Re: Настройка безопасности.
От: 11molniev  
Дата: 22.05.15 15:25
Оценка: 2 (1)
Здравствуйте, alex_mah, Вы писали:

1. selinux. Все выше описанное, все что угодно, для не посвященного убийственно сложно.
2. Если в админстве не очень — жертвовать совместимостью.
3. Если я верно понял, то пользователь со своей машины монтирует сервера / для доступа к неким каталогам. Сделать пользователю на сервере каталог, закинуть туда mount -o bind / overlay fs что надо, делать chroot туда эмитируя корень. Пользователь сможет получить доступ только к проброшенным в песочницу каталогам.
Re[2]: Настройка безопасности.
От: alex_mah Россия www.elsy.ru
Дата: 23.05.15 07:22
Оценка:
Здравствуйте, 11molniev, Вы писали:

1>Здравствуйте, alex_mah, Вы писали:

1>1. selinux. Все выше описанное, все что угодно, для не посвященного убийственно сложно.
Да уж. Посмотрел я на это дело — волосы дыбом встали.

1>2. Если в админстве не очень — жертвовать совместимостью.
Вот как раз и не хочется.

1>3. Если я верно понял, то пользователь со своей машины монтирует сервера / для доступа к неким каталогам. Сделать пользователю на сервере каталог, закинуть туда mount -o bind / overlay fs что надо, делать chroot туда эмитируя корень. Пользователь сможет получить доступ только к проброшенным в песочницу каталогам.
Именно так.
С удаленной машины монтируется корень и там пользователь лазит по своим каталогам. И не по своим тоже.
Это мысль, кстати.
Надо будет с профайлом пользователя поиграться
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.