Kirjoittaja Aihe: Oikeudet pois käyttäjältä. [Ratkaisu]  (Luettu 8004 kertaa)

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Oikeudet pois käyttäjältä. [Ratkaisu]
« : 15.02.10 - klo:13.07 »
Hei.

Miten tulisi laittaa palvelimen oikeudet jotta yksi käyttäjä ei pystyisi tekemään yhtään mitään muuta kuin lukemaan ja kirjoittamaan omaa kotikansiota ftp:llä?
« Viimeksi muokattu: 17.02.10 - klo:10.13 kirjoittanut HMi »

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: Oikeudet pois käyttäjältä.
« Vastaus #1 : 15.02.10 - klo:16.08 »
Taitaa mennä chrootilla vääntämiseksi, luulisin.

drgreen

  • Käyttäjä
  • Viestejä: 32
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #2 : 16.02.10 - klo:09.45 »
Vaihdat käyttäjän shelliksi vaikka /dev/null.

Koodia: [Valitse]
gedit /etc/passwd
Sieltä kohta:

kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/bin/bash

muutetaan viimeinen sarake (/bin/bash -> /dev/null), uusi rivi näyttää tältä:

kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/dev/null

Näinollen käyttäjä ei enään pääse interaktiiviseen shelliin vaan pystyy esim ftp:llä käyttämään kotikansiotaan.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #3 : 16.02.10 - klo:12.31 »
Vaihdat käyttäjän shelliksi vaikka /dev/null.

Koodia: [Valitse]
gedit /etc/passwd
Sieltä kohta:

kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/bin/bash

muutetaan viimeinen sarake (/bin/bash -> /dev/null), uusi rivi näyttää tältä:

kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/dev/null

Näinollen käyttäjä ei enään pääse interaktiiviseen shelliin vaan pystyy esim ftp:llä käyttämään kotikansiotaan.


Tuo estää myös ftp:n, mikähän menee pieleen?

Rivi näyttää nyt tältä:
reiska:x:1002:1002:,,,:/home/reiska:/dev/null

drgreen

  • Käyttäjä
  • Viestejä: 32
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #4 : 16.02.10 - klo:13.53 »
Ai katsos vaan. Olisi voinut itsekin kokeilla ensin ennenkuin neuvoo :) Jotenkin oletin, ettei ftp tarvi loginshelliä mihinkään. Hmm, no varmaankin sitten ftp-palvelinohjelmistosta säätämällä. Mitä ftp-palvelinta käytät?

P.S. Tällainen löyty:

http://www.faqs.org/docs/securing/chap29sec295.html
« Viimeksi muokattu: 16.02.10 - klo:13.57 kirjoittanut drgreen »

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #5 : 16.02.10 - klo:14.31 »
Käytän proftpd:tä ja olenkin säätänyt niin että sitä kautta ei pääse muihin kansioihin mutta sehän ei nyt riitä.
Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.

nm

  • Käyttäjä
  • Viestejä: 16430
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #6 : 16.02.10 - klo:17.06 »
Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.

Listaa sallitut käyttäjät /etc/ssh/sshd_config-tiedoston AllowUsers -rivillä. (Lue myös manuaalisivu: man sshd_config)

Lisäksi ProFTPD osaa tarvittaessa lukea käyttäjätiedot muualtakin kuin /etc/passwd:stä, jolloin tunnuksella ei ole mitään muita kirjautumisoikeuksia. Katso: http://www.proftpd.org/docs/howto/AuthFiles.html
« Viimeksi muokattu: 16.02.10 - klo:17.09 kirjoittanut nm »

jarilind

  • Käyttäjä
  • Viestejä: 30
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #7 : 16.02.10 - klo:23.42 »
Asenna virtuaaliservu ko.  käyttäjälle.
« Viimeksi muokattu: 16.02.10 - klo:23.59 kirjoittanut jarilind »

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #8 : 17.02.10 - klo:08.54 »
Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.

Listaa sallitut käyttäjät /etc/ssh/sshd_config-tiedoston AllowUsers -rivillä. (Lue myös manuaalisivu: man sshd_config)

Lisäksi ProFTPD osaa tarvittaessa lukea käyttäjätiedot muualtakin kuin /etc/passwd:stä, jolloin tunnuksella ei ole mitään muita kirjautumisoikeuksia. Katso: http://www.proftpd.org/docs/howto/AuthFiles.html

En löytänyt tuosta /etc/ssh/sshd_config tiedostosta AllowUsers kohtaa joten lisäsin sen itse tiedoston loppuun ja laitoin sallitut nimet alle.
Koodia: [Valitse]
AllowUsers
tenho,kyösti,jörppis
Kokeilin myös DenyUsers mutta ei toimi kumpikaan tapa. Pitäisikö tuo openssh käynnistää säädön jälkeen uudestaan? Jos pitää niin miten?


Asenna virtuaaliservu ko.  käyttäjälle.
No en.

drgreen

  • Käyttäjä
  • Viestejä: 32
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #9 : 17.02.10 - klo:09.03 »
Kirjoita:

Koodia: [Valitse]
service ssh restart
Hyviä vastauksia olet saanut. Kysymykseesi on monta eri ratkaisua.

Ville Pöntinen

  • Käyttäjä
  • Viestejä: 2078
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #10 : 17.02.10 - klo:09.14 »
En löytänyt tuosta /etc/ssh/sshd_config tiedostosta AllowUsers kohtaa joten lisäsin sen itse tiedoston loppuun ja laitoin sallitut nimet alle.
Koodia: [Valitse]
AllowUsers
tenho,kyösti,jörppis

DenyUsers vipua ei (kai) edes ole. Mutta itse tein saman virheen kuin sinä tuossa AllowUsers rivillä kerran: nimien pitää olla eroteltu välilyönnillä:

Koodia: [Valitse]
AllowUsers tenho kyösti jörppis
Testaa toimiiko, minä luulin/luulen, että tuo sallii myös ftp-yhteydet vain noille käyttäjille.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #11 : 17.02.10 - klo:10.12 »
Jep, nyt toimii!

Nimet siis piti listata noin kuten Ville Pöntinen osasi neuvoa.

Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.

Kiitos taas kaikille avusta.

Harri

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #12 : 17.02.10 - klo:10.51 »
Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.

FTP-protokolla on wanha ja turvaton joten sen sijaan on parempi käyttää tiedostojenkin siirtoon
ssh:n tarjoamaan sftp/scp mahdollisuutta.


HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #13 : 17.02.10 - klo:11.17 »
Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.

FTP-protokolla on wanha ja turvaton joten sen sijaan on parempi käyttää tiedostojenkin siirtoon
ssh:n tarjoamaan sftp/scp mahdollisuutta.



Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #14 : 17.02.10 - klo:12.20 »
Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?

http://www.google.fi/search?q=FTP+security


HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #15 : 17.02.10 - klo:12.40 »
Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?

http://www.google.fi/search?q=FTP+security



No joo, onhan tuota juttua, ajattelin hieman herättää keskustelua ihan suomeksi aiheesta. googlen käyttö sujuu jollainlailla minultakin.

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili
Vs: Oikeudet pois käyttäjältä.
« Vastaus #16 : 17.02.10 - klo:12.44 »
No joo, onhan tuota juttua, ajattelin hieman herättää keskustelua ihan suomeksi aiheesta. googlen käyttö sujuu jollainlailla minultakin.

Perusongelma: username/password lähetetään protokollassa salaamattona -> ne on helppo snoopata liikenteen seasta verrattuna ssh jossa tiedot lähetetään salattuina.


drgreen

  • Käyttäjä
  • Viestejä: 32
    • Profiili
Vs: Oikeudet pois käyttäjältä. [Ratkaisu]
« Vastaus #17 : 17.02.10 - klo:14.02 »
No siis itseasiassa kaikki liikenne lähetetään salaamattomana, sieltä voi grabata tunnukset / salasanat ja vielä kaikenpäälle itse datan mitä siirretään. FTP:tä ei kai kukaan käytä oikein tosissaan tänä päivänä, taitaa olla vain joitakin anonyymejä logineja ja ihan GPL softaa mitä sille siirrellään. (Esim ftp.funet.fi). Mutta privaattihostien välinen liikenne yleensä kannattaa salata.

SFTP (eli ssh) hoitaa tämän tosi mainiosti. Mutta kyseinen AllowUsers optio conffissa estää kyllä sitten tämän käytön.

Se miten saat pelkät SFTP yhteydet koneelle, ettei käyttäjä kuitenkaan pysty sitten käyttämään SSH:ta menee näin:

Tehdään sftp-serveristä sallittu shelli:

Koodia: [Valitse]
sudo echo '/usr/lib/stfp-server' >> /etc/shells
Sitten vaihdetaan käyttäjälle loginshelliksi sftp-server:

Koodia: [Valitse]
sudo usermod -s /usr/lib/sftp-server kayttaja
Näin käyttäjän pitäisi pystyä vain ja ainoastaan kirjautumaan sftp:tä pitkin.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Oikeudet pois käyttäjältä. [Ratkaisu]
« Vastaus #18 : 17.02.10 - klo:14.29 »
Onko tuo sftp yleisesti tuettu juttu windows maailmassa, eli onnistuuko samalla softalla kuin perus ftp?

Lainaus
Perusongelma: username/password lähetetään protokollassa salaamattona -> ne on helppo snoopata liikenteen seasta verrattuna ssh jossa tiedot lähetetään salattuina.

Mitä vahinkoa esim minun kohdalla voi tapahtua jos joku nuo tunnukset nappaa?

Täytyypä kokeilla vielä tuota drgreenin vinkkiä tuosta sallitusta shellistä.

drgreen

  • Käyttäjä
  • Viestejä: 32
    • Profiili
Vs: Oikeudet pois käyttäjältä. [Ratkaisu]
« Vastaus #19 : 17.02.10 - klo:15.32 »
Onko tuo sftp yleisesti tuettu juttu windows maailmassa, eli onnistuuko samalla softalla kuin perus ftp?

sftp on hyvin tuettu myös windows-ympäristöissä. WinSCP on hyvä ja ilmainen ohjelma tiedonsiirtelyyn windowssin puolella ssh:n avulla. Siinä voi määritellä onko yhteys SFTP vai SCP (scp siis vaatii käyttäjän pääsyn palvelimelle shelliin asti, sftp ei). Ja jos haluaa winscp tulee vain yhtenä exenä, mutta sen voi myös asennella.

Lainaus
Mitä vahinkoa esim minun kohdalla voi tapahtua jos joku nuo tunnukset nappaa?

No se, että tunnukset joku nappaisi just sun ftp-yhteydestä (tai vastaanottajan pään) on varmaan yhtä harvinaista kuin voittaa lotossa - Mutta mahdollista kuitenkin! Pahin skenaario tässä on toki se, että tämä tunnusten nappaaja tulee niillä nappaamillaa tunnuksilla sun koneelle. Esim sun omilla tunnuksilla jotka varmaan sudollekin kelpaa niin vain mielikuvitus jää rajaksi mitä toisen koneella voisi tehdäkään..