Zebezpieczenie przed dziwnymi czynnościami użytkowników

[Appleman]

Witam
mam serwer ssh i kilka użytkowników łączy się z moim komputerem. Możecie mi dać kilka rad, jak zabezpieczyć się przed ich dziwnymi, albo niebezpiecznymi czynnościami. Jakieś sposoby na ominięcie "zabezpieczeń"? Nie mam na myśli przejęcia konta root, ale coś w stylu złośliwych dowcipów;).
(Niektórzy użytkownicy znają się na Linuksie)
PS.: Może jest jakiś sposób zamknięcia użytkowników w bezpiecznej (dla mnie) piaskownicy? Nie chcę jednak zmieniać atrybutów wszystkich plików

[karmelek]

Domyślne chmody nie są tragiczne. Nie wiem jak jest w ubuntu, ale pomyślałbym o systemie kontyngentów i limitach na dostępną per user pamięć operacyjną, ilość procesów itp. Tak, żeby Ci nikt forka nie zrobił. Jak ktoś będzie chciał Ci narobić problemu to i tak da radę

[marcin1982]

Utwórz im katalogi w swoim katalogu domowym z prawem tylko do czytania i koniec. Udostępnisz tylko co zechcesz i tyle.

[Dwimenor]

@Marcin
A jaki to ma sens? Przecież i tak ma tylko odczyt/zapis w swoim home i /tmp w przypadku plików utworzonych przez siebie. Wydzielenie osobnego katalogu w taki sposób jak piszesz ma sens dla ftp, ale zakładam iż jeżeli łączą się przez ssh to może chcą jeszcze do czegoś wykorzystywać (obliczenia? backup przez rsync? kto ich tam wie)

@Appleman
Ja bym wydzielił /home na osobnej partycji (ext3) i ustawił montowanie z opcjami:

Kod: Zaznacz cały

async
auto
noexec
nodev
nosuid
nouser
rw

Możesz się tez pobawić plikiem:

Kod: Zaznacz cały

/etc/security/limits.conf

W celu ograniczenie ilości pamięci (i innych rzeczy) jaką ma do dyspozycji dany użytkownik.

[Appleman]

Dzięki za odpowiedzi. Opowiem Wam co mi się przytrafiło: chciałem zablokować program write. Zrobiłem to za pomocą polecenia chmod -x, ale jeden cwańszy skopiował go zwykłym cp, zmienił się właściciel pliku, dzięki czemu mógł sam nadać mu bit wykonywalności. Teraz odebrałem write'owi także bit czytania. Nie jestem doświadczony w sprawach użytkowników, więc proszę także o bardziej oczywiste (dla Was) rady.

[karmelek]

Ale zależy do czego ta maszyna ma służyć.

[Appleman]

To ma służyć na nauki Linuksa. Niektórzy widzą go pierwszy raz w życiu, a inni "szpanują" znajomościami sztuczek i w tym właśnie problem.

[kris55]

@Appleman

To ma służyć na nauki Linuksa.

A konkretnie do nauki czego ? Prosta sprawa, zakładasz konto usera z niskimi uprawnieniami albo i bez, wyłączasz zbędne usługi, i po problemie. Informujesz , że jest to Linux i niech kombinują. A jak coś narozrabiają to na swoim koncie, w razie czego usera usuwasz dajesz nowego i po problemie. A od "kombinowania" nie uciekniesz, każdy z nas kombinował jak się uczył.

[Appleman]

@Appleman

A konkretnie do nauki czego ?

Do nauki podstaw (ls, cd, chmod, id). Powinni jednak przykładowo widzieć pliki w katalogu głównym.

Kod: Zaznacz cały

każdy z nas kombinował jak się uczył. 

Rozumiem, ale nie chcę na tym zanadto ucierpieć:P
A przy okazji jak się zabezpieczyć przed wpisaniem ":(){ :|:& };:", który zacina system?

[kris55]

@Appleman

A przy okazji jak się zabezpieczyć...

Nie wiem, jak będziesz wiedział to proszę podziel się wiedzą.
Ale na pewno pisanie nawet tutaj na forum takich przykładów nie pomaga. Skąd masz pewność, że Twój uczeń tego nie znajdzie, i przeczyta, no i masz kłopot.

[Appleman]

Znalazłem to na stronie internetowej PC world'a, więc myślę, że nie jest taka tajna wiedza;) Z drugiej strony, myślę, że nikt nie będzie próbował zacinać mojego komputera (przynajmniej liczę na to). Z resztą kto z forumowiczów domyśliłby się, co mam na myśli, gdybym tego nie napisał? Informacje o łamaniu zabezpieczeń i psucia systemu powinny być jak najszerzej dostępne, żeby ludzie wiedzieli, jak się zabezpieczać, o ile to jest możliwe;)

[Dwimenor]

Zabezpieczyć się przed forkbombą możesz np w wspomnianym pliku limits.conf

Kod: Zaznacz cały

nazwa_konta hard nproc 200

Będzie mógł uruchomić maksymalnie 200 procesów na raz. Na forkbombę to za mało. Zdecydowanie za mało.

A co do kombinowania: wszyscy będą w pewnym momencie. Im więcej kombinują, tym więcej się nauczyli;)
Co najwyżej możesz obserwować co robią i upominać jak za bardzo rozrabiają.
Z odbieraniem uprawnień na rzeczy w /bin i /usr/bin to bym uważał. Bo się w pewnym momencie zagalopujesz i wklepiesz coś, co potem będzie trudno odczarować (chmod minusx chmod na przykład)

[Appleman]

Wielkie dzięki, plik limits.conf ma duże możliwości:) Teraz jestem choć trochę bardziej spokojny o mój system;)

EDIT:
A propos upominania, jak zablokować opcje czyszczenia historii poprzez "history -c"? Plik .bash_history zabezpieczyłem poprzez:

Kod: Zaznacz cały

chattr +a .bash_history

Ale "history -c" wyczyści wpisane polecenia z tych, które były wpisane podczas obecnej sesji. Problem w tym, że polecenie "history" (bez opcji) powinno być dostępne.
Skoro już mają kombinować, to przynajmniej będę wiedział, co robią:craz:

[Dwimenor]

Spróbuj tego:
http://www.dufault.info/blog/logging-al ... ptying-it/

Albo ttyrec (jest w repo)
Zanim usiądą do zabawy odpal:

ttyrec -a plik_z_zapisem

Gdzie plik_z_zapisem to gdzieś gdzie raczej nie będą zaglądać

http://0xcc.net/ttyrec/index.html.en
Oczywiście wyjście z powłoki przez exit albo uruchomienie kolejnego tty skończy zabawę w szpiegowanie.

[karmelek]

Kod: Zaznacz cały

(chmod minusx chmod na przykład) 		

A co trudnego w wyjściu z takiego czegoś? Na oko 3 komendy ;]

[Dwimenor]

A co trudnego w wyjściu z takiego czegoś? Na oko 3 komendy ;]

Naprawdę? W jaki sposób? Bo szczerze to nie mam za bardzo pomysłu poza odpaleniem kompa z pendriva i poprawieniem tego ręcznie.