Форум о хостинге
16 ґХЪРСам 2018, 10:13:20 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: SMF форум только что установлен!
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: уПВЙТБАУШ РТЕДПУФБЧМСФШ shell ДПУФХР. еУФШ ЧПРТПУЩ  (Прочитано 3484 раз)
Valsts.Lv
Новичок
*
Сообщений: 2


Просмотр профиля
« : 21 ДХТаРЫм 2003, 20:07:49 »

Доброе время суток, коллеги!

Уже больше года занимаюсь хостингом, многие клиенты просят shell доступ, в основном для irc ботов. Решила за определенную плату предоставлять такую возможность. Так как на хостинг сервере ето самоубийство, поставила отдельную машину под FreeBSD 4.6.

Желаю знать, что можно разрешать юзерам, а что нет, в целях собственной безопасности. На какие нюансы обратить наибольшее внимание?

Заранее благодарю гуру за полезные советы.
Записан
ENELIS
Новичок
*
Сообщений: 249


Просмотр профиля
« Ответ #1 : 21 ДХТаРЫм 2003, 20:17:42 »

Следует обратить внимание на кодировку webhostingtalk.ru/ib3/non-cgi/emoticons/smile.gif

А если серьезно, то, когда мы выбирали шел для своих клиентов не нашли ни одного стандартного, который бы был достаточно надежен. Пришлось переписывать один из шелов (не вспомню названия), чтобы запретить просмотр чужих файлов и директорий, запуска ненужных программ итп.
Записан
Valsts.Lv
Новичок
*
Сообщений: 2


Просмотр профиля
« Ответ #2 : 21 ДХТаРЫм 2003, 20:22:50 »

Enelis

Спасибо за совет. С кодировкой всегда было ок, а тут такая бяка webhostingtalk.ru/ib3/non-cgi/emoticons/sad.gif Пишу из Phoenix 0.5 / Linux Mandrake 9.

Если не затруднит, просьба вставить мой пост в читаемом виде. Спасибо!
Записан
ptitov
Новичок
*
Сообщений: 588


Просмотр профиля
« Ответ #3 : 21 ДХТаРЫм 2003, 23:49:07 »

Enelis
Ну запуск ненужных программ, допустим, можно запретить и проще...

А как же CGI-скрипты? Или вы perl тоже переписали, чтобы клиент не мог сделать ничего лишнего?
Записан
ENELIS
Новичок
*
Сообщений: 249


Просмотр профиля
« Ответ #4 : 22 ДХТаРЫм 2003, 00:44:33 »

Переписать еще и perl - даа ... мечта! webhostingtalk.ru/ib3/non-cgi/emoticons/tounge.gif

По-моему, perl под юзером идет с теми же привелегиями,
что и юзер.
Записан
Igoron
Новичок
*
Сообщений: 20


Просмотр профиля
« Ответ #5 : 22 ДХТаРЫм 2003, 09:26:07 »

А зачем шел то перепсывали?
от чего Вас это спасло?
Записан
ENELIS
Новичок
*
Сообщений: 249


Просмотр профиля
« Ответ #6 : 22 ДХТаРЫм 2003, 10:18:39 »

Переписывали затем, чтобы он работал под нашей общей системой управления виртуальным и выделенным хостингом. Сейчас планируется интерактивизация шела соответственно настройкам клиента в панели.

Спасло от глюков rsh rbash, когда можно подменять системные переменные типа $HOME, когда можно облазить все файлы, с неправильными привелегиями итп.
Записан
Igoron
Новичок
*
Сообщений: 20


Просмотр профиля
« Ответ #7 : 22 ДХТаРЫм 2003, 10:40:50 »

если есть шел значит можно написать програмку, из любой програмки можно звать любые фукции работы с диском а значит и облазить его как угодно и запускать все что угодно, на все на что хватит прав, что позволит ОС.

зачем запрещать менять переменные? они всеравно действуют только на текущий сеанс пользователя и никак не влияют на систему.

а еще из под вашего шела можно наверное запустить любой другой и будут побарабану все ваши ограничения.

2 Valsts.Lv: ставьте правильные права на файлики и невздумайте тратить время на бредовые идеи с переписыванием шела
Записан
ENELIS
Новичок
*
Сообщений: 249


Просмотр профиля
« Ответ #8 : 22 ДХТаРЫм 2003, 12:22:42 »

У нас очень узкий спектр программ, которые может запускать юзер и зачастую они переписаны под ограниченные версии. Запускать программы с путями юзер не может (это про другой шел).

Для 1-2х пользователей не нужно делать свои версии. Для 1000, когда управление ведется с единой системы всем массивом серверов нам нужен был свой шел и не только шел, но и дугое ПО, которое нужно для хостинга.
Записан
ptitov
Новичок
*
Сообщений: 588


Просмотр профиля
« Ответ #9 : 22 ДХТаРЫм 2003, 12:32:38 »

А что мешает юзеру запустить собственную программу?
Записан
ENELIS
Новичок
*
Сообщений: 249


Просмотр профиля
« Ответ #10 : 22 ДХТаРЫм 2003, 13:15:35 »

имхо, она будет запущена под юзером.

Я особо в шел не вникал - там не моя стезя работы. Просто поделился опытом.
Задача была сделать его частью общей системы управления и сделать защиту насколько это возможно. Как пример брали CTSH Интерландовский.
Записан
ptitov
Новичок
*
Сообщений: 588


Просмотр профиля
« Ответ #11 : 22 ДХТаРЫм 2003, 14:40:09 »

Правильно, под юзером!
И эта программка сможет "облазить все файлы, с неправильными привелегиями итп."
Более того, я почти уверен, что она сможет на вашей системе сменить шелл ;-)
groups.google.com/groups?....ddd.org (groups.google.com/groups?selm=20030129092827.51e23d9a.olafk%40lddd.o rg)
Записан
ENELIS
Новичок
*
Сообщений: 249


Просмотр профиля
« Ответ #12 : 22 ДХТаРЫм 2003, 14:47:18 »

быть может ... однако шел предоставлять нужно ...
Записан
Igoron
Новичок
*
Сообщений: 20


Просмотр профиля
« Ответ #13 : 22 ДХТаРЫм 2003, 16:03:13 »

Цитата[/b] (ENELIS @ 22 Февраля 2003, 12:22)]Запускать программы с путями юзер не может (это про другой шел).
А я его себе в хоум по фтп положу и запущу webhostingtalk.ru/ib3/non-cgi/emoticons/smile.gif
или что ваш шел непозволяет запускать свои програмки (например скрипты которые нужно отладить)
Записан
Igoron
Новичок
*
Сообщений: 20


Просмотр профиля
« Ответ #14 : 22 ДХТаРЫм 2003, 16:10:42 »

Вообше с предоставлением шела никаких проблем, в том числе и с правами на файловую систему, если изначально ничего не трогать, создавать юзеров с их хоумами средствами ОС, все будет правильно и секурно.

Существует всего лишь одна потенциальная опасность "локальные дыры", которые переодически находят. Нужно о них просто вовремя узнавать, подписавшись на какой-нибудь багтрак, и быстро лечить.
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.11 | SMF © 2006-2008, Simple Machines LLC Valid XHTML 1.0! Valid CSS!