#1
|
|||
|
|||
Доброе время суток, коллеги!
Уже больше года занимаюсь хостингом, многие клиенты просят shell доступ, в основном для irc ботов. Решила за определенную плату предоставлять такую возможность. Так как на хостинг сервере ето самоубийство, поставила отдельную машину под FreeBSD 4.6. Желаю знать, что можно разрешать юзерам, а что нет, в целях собственной безопасности. На какие нюансы обратить наибольшее внимание? Заранее благодарю гуру за полезные советы. |
#2
|
|||
|
|||
Следует обратить внимание на кодировку
А если серьезно, то, когда мы выбирали шел для своих клиентов не нашли ни одного стандартного, который бы был достаточно надежен. Пришлось переписывать один из шелов (не вспомню названия), чтобы запретить просмотр чужих файлов и директорий, запуска ненужных программ итп. |
#3
|
|||
|
|||
Enelis
Спасибо за совет. С кодировкой всегда было ок, а тут такая бяка Пишу из Phoenix 0.5 / Linux Mandrake 9. Если не затруднит, просьба вставить мой пост в читаемом виде. Спасибо! |
#4
|
|||
|
|||
Enelis
Ну запуск ненужных программ, допустим, можно запретить и проще... А как же CGI-скрипты? Или вы perl тоже переписали, чтобы клиент не мог сделать ничего лишнего? |
#5
|
|||
|
|||
Переписать еще и perl - даа ... мечта!
По-моему, perl под юзером идет с теми же привелегиями, что и юзер. |
#6
|
|||
|
|||
А зачем шел то перепсывали?
от чего Вас это спасло? |
#7
|
|||
|
|||
Переписывали затем, чтобы он работал под нашей общей системой управления виртуальным и выделенным хостингом. Сейчас планируется интерактивизация шела соответственно настройкам клиента в панели.
Спасло от глюков rsh rbash, когда можно подменять системные переменные типа $HOME, когда можно облазить все файлы, с неправильными привелегиями итп. |
#8
|
|||
|
|||
если есть шел значит можно написать програмку, из любой програмки можно звать любые фукции работы с диском а значит и облазить его как угодно и запускать все что угодно, на все на что хватит прав, что позволит ОС.
зачем запрещать менять переменные? они всеравно действуют только на текущий сеанс пользователя и никак не влияют на систему. а еще из под вашего шела можно наверное запустить любой другой и будут побарабану все ваши ограничения. 2 Valsts.Lv: ставьте правильные права на файлики и невздумайте тратить время на бредовые идеи с переписыванием шела |
#9
|
|||
|
|||
У нас очень узкий спектр программ, которые может запускать юзер и зачастую они переписаны под ограниченные версии. Запускать программы с путями юзер не может (это про другой шел).
Для 1-2х пользователей не нужно делать свои версии. Для 1000, когда управление ведется с единой системы всем массивом серверов нам нужен был свой шел и не только шел, но и дугое ПО, которое нужно для хостинга. |
#10
|
|||
|
|||
А что мешает юзеру запустить собственную программу?
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Как войти в shell виртуального сервера, нужна инф. для начинающего CGI Си программ(+) | socia | Технологии программирования для web | 1 | 04.04.2009 16:07 |