создайте пользователя chroot на первом входе в систему

Question

создайте пользователя chroot на первом входе в систему

Хорошо, как, кажется, случай 75% времени, я на самом деле споткнулся за ответ на свой собственный вопрос. -t и -x флаги для df сделает то, что я ищу.

-t [type] перечислит файловые системы, соответствующие ТИПУ фс [тип]

-x [type] перечислит файловые системы, НЕ соответствующие ТИПУ фс [тип]

Т.е. чтобы я исключил смонтированные NFS файловые системы, команда df -x nfs.

3

linux ldap nfs pam chroot

задан Rooster 17 April 2014 в 21:15

Ссылка

1 ответ


         
              



      
        Теги
        
         linux ldap nfs pam chroot       

        Похожие вопросы
        
          
                          993 
 Как я могу отсортировать du-h произведенный размером - 29 October 2016 04:01 
                            586 
 scp может скопировать каталоги рекурсивно? - 10 July 2018 18:19 
                            435 
 Каково различие между двойными и единственными квадратными скобками в ударе? - 10 August 2009 00:11 
                            423 
 Что точно делает цвета в htop средних строках состояния? - 8 September 2014 22:03 
                            364 
 Кто-либо еще испытывающий высокие показатели сервера Linux разрушает во время прыжка второй день? - 4 July 2012 00:09 
                            316 
 Как выполнить сервер на порте 80 как обычный пользователь на Linux? - 14 August 2019 17:35 
                            313 
 Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41 
                            261 
 Как связать сервер MySQL больше чем с одним IP-адресом? - 24 February 2018 01:37 
                            261 
 Могу я nohup/screen уже запущенный процесс? - 12 June 2009 03:14 
                            252 
 Я могу автоматически добавить новый хост known_hosts? - 2 September 2015 00:40 
                            235 
 Показ общего прогресса rsync: действительно ли это возможно? - 5 January 2011 17:26 
                            233 
 Копирование большого дерева каталогов локально? CP или rsync? - 30 October 2014 16:15 
                            232 
 Переменные среды рабочего процесса на Unix? - 22 February 2016 22:22 
                            228 
 Почему мой crontab не работает, и как я могу диагностировать его? - 17 March 2017 09:55 
                            225 
 Перемещение уже рабочего процесса для Экранирования - 19 August 2009 04:48

score 3 · Accepted Answer · 3 December 2019 в 06:34

Прежде всего, возможно, chroot не может считаться функцией безопасности . Есть мнений и в другом направлении, .

Возможно, вам нужно реализовать воспроизводимый, проверяемый метод ограничения возможности пользователя выполнять действия, отличные от строго разрешенных.

Если вы регистрируете своих пользователей в LDAP, вы наверняка уже развернули механизмы для выполнения аутентификации LDAP на любом компьютере, подключенном к этому LDAP, будь то с помощью sssd или с помощью любого другого модуля PAM, это не имеет отношения к остальной части решения и предполагается, что он уже существует (в моем случае я использую freeIPA и sssd ).

Для реализации этого сценария, В настоящее время я делаю следующее (имейте в виду, что для такого рода ограничений требуется выполнение нескольких условий, иначе ограничение можно легко обойти):

Пользователи не принадлежат к группе wheel , единственный, кто имеет право использовать su (принудительно через PAM). Обычно существует пользователь, не являющийся пользователем LDAP ( sysadm ), чтобы позволить доверенным администраторам выполнять действия в случае аварийного восстановления или недоступности LDAP.

Пользователям предоставляется должным образом защищенный rbash с доступный только для чтения ПУТЬ, указывающий на частный ~ / bin , этот ~ / bin / каталог содержит ссылки на все разрешенные команды, например:

 $ ll ~ / bin 


 Пользователи не принадлежат к группе  wheel , единственной, кому разрешено использовать  su  (принудительно через PAM). Обычно существует пользователь, не являющийся пользователем LDAP ( sysadm ), чтобы позволить доверенным администраторам выполнять действия в случае аварийного восстановления или недоступности LDAP. 
 Пользователям предоставляется должным образом защищенный  rbash  с доступный только для чтения ПУТЬ, указывающий на частный  ~ / bin , этот  ~ / bin /  каталог содержит ссылки на все разрешенные команды, например: 

 $ ll ~ / bin 


 Пользователи не принадлежат к группе  wheel , единственной, кому разрешено использовать  su  (принудительно через PAM). Обычно существует пользователь, не являющийся пользователем LDAP ( sysadm ), чтобы позволить доверенным администраторам выполнять действия в случае аварийного восстановления или недоступности LDAP. 
 Пользователям предоставляется должным образом защищенный  rbash  с доступный только для чтения ПУТЬ, указывающий на частный  ~ / bin , этот  ~ / bin /  каталог содержит ссылки на все разрешенные команды, например: 

 $ ll ~ / bin
всего 0
lrwxrwxrwx. 1 root dawud 14 сен 17 08:58 clear -> / usr / bin / clear *
lrwxrwxrwx. 1 root dawud 7 сен 17 08:58 df -> / bin / df *
lrwxrwxrwx. 1 root dawud 10 сен 17 08:58 egrep -> / bin / egrep *
lrwxrwxrwx. 1 root dawud 8 сен 17 08:58 env -> / bin / env *
lrwxrwxrwx. 1 root dawud 10 сен 17 08:58 fgrep -> / bin / fgrep *
lrwxrwxrwx. 1 root dawud 9 сен 17 08:58 grep -> / bin / grep *
lrwxrwxrwx. 1 root dawud 10 сен 17 08:58 rview -> / bin / rview *
lrwxrwxrwx. 1 root dawud 13 сен 17 08:58 rvim -> / usr / bin / rvim *
lrwxrwxrwx. 1 root dawud 13 сентября 17 08:58 sudo -> / usr / bin / sudo *
lrwxrwxrwx. 1 root dawud 17 сен 17 08:58 sudoedit -> / usr / bin / sudoedit *
lrwxrwxrwx. 1 root dawud 13 сен 17 08:58 tail -> / usr / bin / tail *
lrwxrwxrwx. 1 root dawud 11 сен 17 08:58 туалет -> / usr / bin / wc *

 пользователям предоставляется ограниченная среда только для чтения (подумайте о таких вещах, как  LESSSECURE ,  TMOUT ,  HISTFILE  переменные). Это сделано для того, чтобы избежать экранирования оболочки   из таких команд, как  less  или  vim . 
 если ограничения MAC существуют (конкретный дистрибутив GNU / Linux, который вы используете SELinux включен), пользователи отображаются на пользователя SELinux  staff_u  и получают права на выполнение команд от имени другого пользователя по мере необходимости через  sudo . Конкретные разрешенные  Sudorules  должны быть тщательно проверены, чтобы предотвратить обход этих ограничений пользователем, и также могут быть развернуты в вашей существующей инфраструктуре LDAP (это одна из функций freeIPA). 
 пользователи  / дом ,
/ var / tmp /tmp/.inst/var-tmp.inst-$USER- tmpdir: создать root
$ HOME $ HOME / $ USER.inst / tmpdir: создать root


 Полиинстанция каталогов - не новая функция, она доступна уже довольно давно. Для справки см.  эту статью от 2006 г. . Фактически, многие модули уже используют  pam_namespace  по умолчанию, но конфигурация по умолчанию в  /etc/security/namespace.conf  не включает многоэкземплярное создание.
Кроме того,  /etc/security/namespace.init  должен сделать все скелетные файлы доступными только для чтения для пользователей и принадлежащими  root . 


 Таким образом, вы можете выбрать, могут ли пользователи выполнять любую команду от своего имени (по ссылке в частном каталоге  ~ / bin , предоставленной через  / etc / skel , как описано выше), от имени другого пользователя (через  sudo ) или вообще ничего.