Zebezpieczenie przed dziwnymi czynnościami użytkowników
-
- Sędziwy Jeż
- Posty: 74
- Rejestracja: 19 paź 2009, 18:59
- Płeć: Mężczyzna
- Wersja Ubuntu: 10.10
- Środowisko graficzne: GNOME
- Architektura: x86_64
Zebezpieczenie przed dziwnymi czynnościami użytkowników
Witam
mam serwer ssh i kilka użytkowników łączy się z moim komputerem. Możecie mi dać kilka rad, jak zabezpieczyć się przed ich dziwnymi, albo niebezpiecznymi czynnościami. Jakieś sposoby na ominięcie "zabezpieczeń"? Nie mam na myśli przejęcia konta root, ale coś w stylu złośliwych dowcipów;).
(Niektórzy użytkownicy znają się na Linuksie)
PS.: Może jest jakiś sposób zamknięcia użytkowników w bezpiecznej (dla mnie) piaskownicy? Nie chcę jednak zmieniać atrybutów wszystkich plików
mam serwer ssh i kilka użytkowników łączy się z moim komputerem. Możecie mi dać kilka rad, jak zabezpieczyć się przed ich dziwnymi, albo niebezpiecznymi czynnościami. Jakieś sposoby na ominięcie "zabezpieczeń"? Nie mam na myśli przejęcia konta root, ale coś w stylu złośliwych dowcipów;).
(Niektórzy użytkownicy znają się na Linuksie)
PS.: Może jest jakiś sposób zamknięcia użytkowników w bezpiecznej (dla mnie) piaskownicy? Nie chcę jednak zmieniać atrybutów wszystkich plików
- karmelek
- Przyjaciel
- Posty: 883
- Rejestracja: 10 lut 2007, 17:45
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: GNOME
- Architektura: x86
- Kontakt:
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Domyślne chmody nie są tragiczne. Nie wiem jak jest w ubuntu, ale pomyślałbym o systemie kontyngentów i limitach na dostępną per user pamięć operacyjną, ilość procesów itp. Tak, żeby Ci nikt forka nie zrobił. Jak ktoś będzie chciał Ci narobić problemu to i tak da radę ![:P :P](./images/smilies/icon_razz.gif)
![:P :P](./images/smilies/icon_razz.gif)
Wszystkich moderatorów Bóg po śmierci zabiera do nieba, żeby ci dwadzieścia cztery godziny na dobę moderowali modlitwy do niego.
http://karmelek.wordpress.com
inny OS=debian lenny
http://karmelek.wordpress.com
inny OS=debian lenny
-
- Gibki Gibbon
- Posty: 3209
- Rejestracja: 30 wrz 2007, 13:49
- Płeć: Mężczyzna
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Utwórz im katalogi w swoim katalogu domowym z prawem tylko do czytania i koniec. Udostępnisz tylko co zechcesz i tyle.
- Dwimenor
- Przebojowy Jelonek
- Posty: 1260
- Rejestracja: 18 mar 2008, 16:14
- Płeć: Mężczyzna
- Wersja Ubuntu: 13.10
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
@Marcin
A jaki to ma sens? Przecież i tak ma tylko odczyt/zapis w swoim home i /tmp w przypadku plików utworzonych przez siebie. Wydzielenie osobnego katalogu w taki sposób jak piszesz ma sens dla ftp, ale zakładam iż jeżeli łączą się przez ssh to może chcą jeszcze do czegoś wykorzystywać (obliczenia? backup przez rsync? kto ich tam wie)
@Appleman
Ja bym wydzielił /home na osobnej partycji (ext3) i ustawił montowanie z opcjami:
Możesz się tez pobawić plikiem:
W celu ograniczenie ilości pamięci (i innych rzeczy) jaką ma do dyspozycji dany użytkownik.
A jaki to ma sens? Przecież i tak ma tylko odczyt/zapis w swoim home i /tmp w przypadku plików utworzonych przez siebie. Wydzielenie osobnego katalogu w taki sposób jak piszesz ma sens dla ftp, ale zakładam iż jeżeli łączą się przez ssh to może chcą jeszcze do czegoś wykorzystywać (obliczenia? backup przez rsync? kto ich tam wie)
@Appleman
Ja bym wydzielił /home na osobnej partycji (ext3) i ustawił montowanie z opcjami:
Kod: Zaznacz cały
async
auto
noexec
nodev
nosuid
nouser
rw
Kod: Zaznacz cały
/etc/security/limits.conf
Poniższe zdanie jest fałszywe.
Powyższe zdanie jest prawdziwe.
Powyższe zdanie jest prawdziwe.
-
- Sędziwy Jeż
- Posty: 74
- Rejestracja: 19 paź 2009, 18:59
- Płeć: Mężczyzna
- Wersja Ubuntu: 10.10
- Środowisko graficzne: GNOME
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Dzięki za odpowiedzi. Opowiem Wam co mi się przytrafiło: chciałem zablokować program write. Zrobiłem to za pomocą polecenia chmod -x, ale jeden cwańszy skopiował go zwykłym cp, zmienił się właściciel pliku, dzięki czemu mógł sam nadać mu bit wykonywalności. Teraz odebrałem write'owi także bit czytania. Nie jestem doświadczony w sprawach użytkowników, więc proszę także o bardziej oczywiste (dla Was) rady.
- karmelek
- Przyjaciel
- Posty: 883
- Rejestracja: 10 lut 2007, 17:45
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: GNOME
- Architektura: x86
- Kontakt:
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Ale zależy do czego ta maszyna ma służyć.
Wszystkich moderatorów Bóg po śmierci zabiera do nieba, żeby ci dwadzieścia cztery godziny na dobę moderowali modlitwy do niego.
http://karmelek.wordpress.com
inny OS=debian lenny
http://karmelek.wordpress.com
inny OS=debian lenny
-
- Sędziwy Jeż
- Posty: 74
- Rejestracja: 19 paź 2009, 18:59
- Płeć: Mężczyzna
- Wersja Ubuntu: 10.10
- Środowisko graficzne: GNOME
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
To ma służyć na nauki Linuksa. Niektórzy widzą go pierwszy raz w życiu, a inni "szpanują" znajomościami sztuczek i w tym właśnie problem.
- kris55
- Zakręcona Traszka
- Posty: 560
- Rejestracja: 16 mar 2010, 16:56
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Openbox
- Architektura: x86
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
@Appleman
A konkretnie do nauki czego ? Prosta sprawa, zakładasz konto usera z niskimi uprawnieniami albo i bez, wyłączasz zbędne usługi, i po problemie. Informujesz , że jest to Linux i niech kombinują. A jak coś narozrabiają to na swoim koncie, w razie czego usera usuwasz dajesz nowego i po problemie. A od "kombinowania" nie uciekniesz, każdy z nas kombinował jak się uczył.To ma służyć na nauki Linuksa.
Linux Puppy 5.20 ROX + OpenBox & Ubuntu 10.04 GNOME
Linux Registered User #308993 ---> http://www.counter.li.org
Linux Counter is not an exclusive club. Any Linux user can join and it's free.
Linux Registered User #308993 ---> http://www.counter.li.org
Linux Counter is not an exclusive club. Any Linux user can join and it's free.
-
- Sędziwy Jeż
- Posty: 74
- Rejestracja: 19 paź 2009, 18:59
- Płeć: Mężczyzna
- Wersja Ubuntu: 10.10
- Środowisko graficzne: GNOME
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Do nauki podstaw (ls, cd, chmod, id). Powinni jednak przykładowo widzieć pliki w katalogu głównym.kris55 pisze:@Appleman
A konkretnie do nauki czego ?
Kod: Zaznacz cały
każdy z nas kombinował jak się uczył.
A przy okazji jak się zabezpieczyć przed wpisaniem ":(){ :|:& };:", który zacina system?
- kris55
- Zakręcona Traszka
- Posty: 560
- Rejestracja: 16 mar 2010, 16:56
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Openbox
- Architektura: x86
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
@Appleman
Ale na pewno pisanie nawet tutaj na forum takich przykładów nie pomaga. Skąd masz pewność, że Twój uczeń tego nie znajdzie, i przeczyta, no i masz kłopot.
Nie wiem, jak będziesz wiedział to proszę podziel się wiedzą.A przy okazji jak się zabezpieczyć...
Ale na pewno pisanie nawet tutaj na forum takich przykładów nie pomaga. Skąd masz pewność, że Twój uczeń tego nie znajdzie, i przeczyta, no i masz kłopot.
Linux Puppy 5.20 ROX + OpenBox & Ubuntu 10.04 GNOME
Linux Registered User #308993 ---> http://www.counter.li.org
Linux Counter is not an exclusive club. Any Linux user can join and it's free.
Linux Registered User #308993 ---> http://www.counter.li.org
Linux Counter is not an exclusive club. Any Linux user can join and it's free.
-
- Sędziwy Jeż
- Posty: 74
- Rejestracja: 19 paź 2009, 18:59
- Płeć: Mężczyzna
- Wersja Ubuntu: 10.10
- Środowisko graficzne: GNOME
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Znalazłem to na stronie internetowej PC world'a, więc myślę, że nie jest taka tajna wiedza;) Z drugiej strony, myślę, że nikt nie będzie próbował zacinać mojego komputera (przynajmniej liczę na to). Z resztą kto z forumowiczów domyśliłby się, co mam na myśli, gdybym tego nie napisał? Informacje o łamaniu zabezpieczeń i psucia systemu powinny być jak najszerzej dostępne, żeby ludzie wiedzieli, jak się zabezpieczać, o ile to jest możliwe;)
- Dwimenor
- Przebojowy Jelonek
- Posty: 1260
- Rejestracja: 18 mar 2008, 16:14
- Płeć: Mężczyzna
- Wersja Ubuntu: 13.10
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Zabezpieczyć się przed forkbombą możesz np w wspomnianym pliku limits.conf
Będzie mógł uruchomić maksymalnie 200 procesów na raz. Na forkbombę to za mało. Zdecydowanie za mało.
A co do kombinowania: wszyscy będą w pewnym momencie. Im więcej kombinują, tym więcej się nauczyli;)
Co najwyżej możesz obserwować co robią i upominać jak za bardzo rozrabiają.
Z odbieraniem uprawnień na rzeczy w /bin i /usr/bin to bym uważał. Bo się w pewnym momencie zagalopujesz i wklepiesz coś, co potem będzie trudno odczarować (chmod minusx chmod na przykład)
Kod: Zaznacz cały
nazwa_konta hard nproc 200
A co do kombinowania: wszyscy będą w pewnym momencie. Im więcej kombinują, tym więcej się nauczyli;)
Co najwyżej możesz obserwować co robią i upominać jak za bardzo rozrabiają.
Z odbieraniem uprawnień na rzeczy w /bin i /usr/bin to bym uważał. Bo się w pewnym momencie zagalopujesz i wklepiesz coś, co potem będzie trudno odczarować (chmod minusx chmod na przykład)
Poniższe zdanie jest fałszywe.
Powyższe zdanie jest prawdziwe.
Powyższe zdanie jest prawdziwe.
-
- Sędziwy Jeż
- Posty: 74
- Rejestracja: 19 paź 2009, 18:59
- Płeć: Mężczyzna
- Wersja Ubuntu: 10.10
- Środowisko graficzne: GNOME
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Wielkie dzięki, plik limits.conf ma duże możliwości:) Teraz jestem choć trochę bardziej spokojny o mój system;)
EDIT:
A propos upominania, jak zablokować opcje czyszczenia historii poprzez "history -c"? Plik .bash_history zabezpieczyłem poprzez:
Ale "history -c" wyczyści wpisane polecenia z tych, które były wpisane podczas obecnej sesji. Problem w tym, że polecenie "history" (bez opcji) powinno być dostępne.
Skoro już mają kombinować, to przynajmniej będę wiedział, co robią:craz:
EDIT:
A propos upominania, jak zablokować opcje czyszczenia historii poprzez "history -c"? Plik .bash_history zabezpieczyłem poprzez:
Kod: Zaznacz cały
chattr +a .bash_history
Skoro już mają kombinować, to przynajmniej będę wiedział, co robią:craz:
- Dwimenor
- Przebojowy Jelonek
- Posty: 1260
- Rejestracja: 18 mar 2008, 16:14
- Płeć: Mężczyzna
- Wersja Ubuntu: 13.10
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Spróbuj tego:
http://www.dufault.info/blog/logging-al ... ptying-it/
Albo ttyrec (jest w repo)
Zanim usiądą do zabawy odpal:
http://0xcc.net/ttyrec/index.html.en
Oczywiście wyjście z powłoki przez exit albo uruchomienie kolejnego tty skończy zabawę w szpiegowanie.
http://www.dufault.info/blog/logging-al ... ptying-it/
Albo ttyrec (jest w repo)
Zanim usiądą do zabawy odpal:
Gdzie plik_z_zapisem to gdzieś gdzie raczej nie będą zaglądaćttyrec -a plik_z_zapisem
http://0xcc.net/ttyrec/index.html.en
Oczywiście wyjście z powłoki przez exit albo uruchomienie kolejnego tty skończy zabawę w szpiegowanie.
Poniższe zdanie jest fałszywe.
Powyższe zdanie jest prawdziwe.
Powyższe zdanie jest prawdziwe.
- karmelek
- Przyjaciel
- Posty: 883
- Rejestracja: 10 lut 2007, 17:45
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: GNOME
- Architektura: x86
- Kontakt:
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Kod: Zaznacz cały
(chmod minusx chmod na przykład)
Wszystkich moderatorów Bóg po śmierci zabiera do nieba, żeby ci dwadzieścia cztery godziny na dobę moderowali modlitwy do niego.
http://karmelek.wordpress.com
inny OS=debian lenny
http://karmelek.wordpress.com
inny OS=debian lenny
- Dwimenor
- Przebojowy Jelonek
- Posty: 1260
- Rejestracja: 18 mar 2008, 16:14
- Płeć: Mężczyzna
- Wersja Ubuntu: 13.10
- Architektura: x86_64
Odp: Zebezpieczenie przed dziwnymi czynnościami użytkowników
Naprawdę? W jaki sposób? Bo szczerze to nie mam za bardzo pomysłu poza odpaleniem kompa z pendriva i poprawieniem tego ręcznie.karmelek pisze: A co trudnego w wyjściu z takiego czegoś? Na oko 3 komendy ;]
Poniższe zdanie jest fałszywe.
Powyższe zdanie jest prawdziwe.
Powyższe zdanie jest prawdziwe.
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość