Prosessien/Ohjelmien estot

[prz]

Hei,

Tarvisin pientä apua siinä miten voisin estää tavallisilta käyttäjiltä esimerkiksi nyt "irssi" prosessin ajamisen omalla käyttäjätunnuksella? taikka niin päin että voisi vain irssi prosessia käyttää ja kaikki muut prosessit oisi estettynä ajamasta tunnuksilla? Onko tämä mitenkään mahdollista? Kun en ainakaa mitään tämmöstä löytäny jo valmiiksi täältä mutta jos tähän joku viisais osaisi vastata tähän? kun ei iteltä ainakaan tähän vastausta löydy miten ton toteuttaisi.

Kiitos ja kummarrus.

[Vapaan koodin kananmuna]

Auttaisi paljon jos kertoisit mikä tämän järjestelyn perimmäinen tarkoitus on?
Screen + irssi koneen tarjoaminen kavereille?
Chroot vankila voisi tulla kyseeseen
http://olivier.sessink.nl/jailkit/howtos_ssh_only.html
Tosta oppaasta muokkaa silleen, että ssh:n tilalla on se ohjelma(t), jonka haluaa olevan sallittu.

[prz]

Jees, toi ois asian tarkoitus.

[kimbledon]

Muuten hyvä, mutta irssin ja screenin kanssa tuli ongelmia. Valitti kaiken maailman ettei löytynyt terminalia tms. Vaikka kopioin koko /dev ja /dev/pts sinne "vankilaan" niin ei onnistunut. Loppujen lopuksi koneeni meni aivan sekaisin kun ne laitteet meni ristiin rastiin(onneks reboot auttoi). Jos joku löytäis hyvän ohjeen tai jopa mahdollisesti tekisi, niin olisi todella hyvä.

[kimbledon]

Haluaisin siis antaa parille kaverilleni irssi-shellin serverilleni, mutta en halua antaa heille bashia käyttöön.
Tein itse oman python scriptin tätä varten:  http://tauri.ath.cx/~kimble/login.py
Kirjoitin ylös miten laitoin sen käyntiin:  http://tauri.ath.cx/~kimble/loginohje

Tämä on täysin toimiva systeemi, mutta irssissä on komento: /exec ja mahdollisesti myös muita komentoja jotka ovat mahdollinen turva-aukko. Haluaisin siis jotenkin estää tietyltä käyttäjältä muiden ohjelmien suorittamisen paitsi: irssi,wget,ls,rm,ps,screen. Itselleni tuli mieleen vain se että laittaisin kaikki binäärit jonkun ryhmän omistukseen(ne ketkä saavat suorittaa niitä) ja sitten chmoddaisi binäärit niin, että vaih omistaja ja ryhmä voisi niitä suorittaa. Sitten antaisi irssille, wgetille ja noille suoritusoikeuden kaikille. Niitä binäärejähän on ties missä paikoissa. Kuinkahan vaikea tuota olisi toteuttaa?
Olen kokeillut jo tehdä sellaisen chroot "vankilan", mutta se ei onnistunut irssin kanssa kovin hyvin.

[prz]

Haluaisin siis antaa parille kaverilleni irssi-shellin serverilleni, mutta en halua antaa heille bashia käyttöön.
Tein itse oman python scriptin tätä varten:  http://tauri.ath.cx/~kimble/login.py
Kirjoitin ylös miten laitoin sen käyntiin:  http://tauri.ath.cx/~kimble/loginohje

Tämä on täysin toimiva systeemi, mutta irssissä on komento: /exec ja mahdollisesti myös muita komentoja jotka ovat mahdollinen turva-aukko. Haluaisin siis jotenkin estää tietyltä käyttäjältä muiden ohjelmien suorittamisen paitsi: irssi,wget,ls,rm,ps,screen. Itselleni tuli mieleen vain se että laittaisin kaikki binäärit jonkun ryhmän omistukseen(ne ketkä saavat suorittaa niitä) ja sitten chmoddaisi binäärit niin, että vaih omistaja ja ryhmä voisi niitä suorittaa. Sitten antaisi irssille, wgetille ja noille suoritusoikeuden kaikille. Niitä binäärejähän on ties missä paikoissa. Kuinkahan vaikea tuota olisi toteuttaa?
Olen kokeillut jo tehdä sellaisen chroot "vankilan", mutta se ei onnistunut irssin kanssa kovin hyvin.

Kiitos tästäkin scriptasta jo sulle

[kimbledon]

Haluaisin siis antaa parille kaverilleni irssi-shellin serverilleni, mutta en halua antaa heille bashia käyttöön.
Tein itse oman python scriptin tätä varten:  http://tauri.ath.cx/~kimble/login.py
Kirjoitin ylös miten laitoin sen käyntiin:  http://tauri.ath.cx/~kimble/loginohje

Tämä on täysin toimiva systeemi, mutta irssissä on komento: /exec ja mahdollisesti myös muita komentoja jotka ovat mahdollinen turva-aukko. Haluaisin siis jotenkin estää tietyltä käyttäjältä muiden ohjelmien suorittamisen paitsi: irssi,wget,ls,rm,ps,screen. Itselleni tuli mieleen vain se että laittaisin kaikki binäärit jonkun ryhmän omistukseen(ne ketkä saavat suorittaa niitä) ja sitten chmoddaisi binäärit niin, että vaih omistaja ja ryhmä voisi niitä suorittaa. Sitten antaisi irssille, wgetille ja noille suoritusoikeuden kaikille. Niitä binäärejähän on ties missä paikoissa. Kuinkahan vaikea tuota olisi toteuttaa?
Olen kokeillut jo tehdä sellaisen chroot "vankilan", mutta se ei onnistunut irssin kanssa kovin hyvin.

Kiitos tästäkin scriptasta jo sulle

Juu ei siinä mitään. Tein eilen siitä paremman version joka ei tarvitse tota tunnusta enää vaan se katsoo screen -ls komennolla, että onko niitä screenejä vai ei.
Sitten se myös pysyy paikallaan se valikko sillee hienosti nyt Muutan vielä ton käyttämään $HOME muuttujaa ton "/home/%s" % os.system('whoami'):n tilalta.
Et ei tarvii muutaku vaihtaa vaa toi sen vanhan login.py tilalle ni se osaa jatkaa irssiiki.

[Tuplanolla]

Haluaisin siis antaa parille kaverilleni irssi-shellin serverilleni, mutta en halua antaa heille bashia käyttöön.
Tein itse oman python scriptin tätä varten:  http://tauri.ath.cx/~kimble/login.py
Kirjoitin ylös miten laitoin sen käyntiin:  http://tauri.ath.cx/~kimble/loginohje

Hmm, muutetaan oikeuksia tuolla ohjeessa ettei voi ajaa omia ohjelmia. Eikös ~/.irssistäkin voi?

[kimbledon]

Haluaisin siis antaa parille kaverilleni irssi-shellin serverilleni, mutta en halua antaa heille bashia käyttöön.
Tein itse oman python scriptin tätä varten:  http://tauri.ath.cx/~kimble/login.py
Kirjoitin ylös miten laitoin sen käyntiin:  http://tauri.ath.cx/~kimble/loginohje

Hmm, muutetaan oikeuksia tuolla ohjeessa ettei voi ajaa omia ohjelmia. Eikös ~/.irssistäkin voi?

Juu voihan sieltä tosiaan. Harmittaa tuo irssin /exec komento, voisin melkee alkaa ite säätää irssii missä ei olis sitä ollenkaan

[kimbledon]

Päädyin ratkaisuun: Tekee chrootjailin minne laittaa irssin ja screenin. Mounttaa sen chrootjailin jonnekkin erilliselle kovalevylle NOSUID optiolla, jolloin kukaan ei voi saada root-oikeuksia jailissa(jailista pääsee ulos jos saa root oikeudet)
Koitin jo kerran aiemmin tehdä tuota chroot jailia, mutta en oikein onnistunut. Koitin kuitenkin uudestaan ja keksin syitä miksi irssi tai screen eivät toimineet:


HUOM! Korvaa näistä komennoista /home/jail polku sinun omalla polulla, jossa JAILIN juuri sijaitsee!

Koodia: [Valitse]

Error opening terminal: unknown.
Tämä johtuu siitä, että TERM ympäristömuuttuja on pielessä, muokkaa JAILIN /etc/profile tiedostoa ja lisää sen loppuun rivit:

Koodia: [Valitse]

export TERMINFO=/opt/share/terminfo
export TERM=linux
Näin saat irssin toimimaan.
Seuraava ongelma tulee kuitenkin screenin kanssa:

Koodia: [Valitse]

Cannot open your terminal '/dev/pts/1' - please check.
Siihen auttaa:

Koodia: [Valitse]

mount -t devpts devpts /home/jail/dev/pts
Jos saat virheviestin:

Koodia: [Valitse]

Must be connected to a terminal.:
niin siihen auttaa:

Koodia: [Valitse]

mount -t proc proc /home/jail/proc
Virheviesti:

Koodia: [Valitse]

No more PTYs
Korjaus:

Koodia: [Valitse]

chmod 666 /dev/ptmx

En siis takaa, että nämä toimivat, mutta itselläni nämä ovat toimineet ja auttaneet screen+irssi yhdistelmään chroot jailissa.
Aion tehdä tässä kun kerkeän niin ohjeen miten laitat chroot jailin pystyyn ja miten saat screenin+irssin sinne(tai jotain muuta)