поиск:    
  Бесплатная почта на E1.ru почта @E1.ru:  (регистрация)
пароль:

 
переход:  

Технологии
Технологии
Екатеринбург Онлайн
Публикации:  Айвоська  |  Каталог:  ПК, ноутбуки, планшеты  |  Форумы:  Операторы связи,   Модели телефонов,   Цифровое фото,   Обсуждение гаджетов,   Интернет

  Общение > Форумы  > Технологии > Технические вопросы > UNIX, Linux, Open Source Software  

Гостевой доступ в Линукс?


Список Тем  |   Поиск  |   Правила  |   Статистика  |   Подписаться на тему
Гостевой доступ в Линукс?   #36224 
Автор: kzv  
Дата:   09 Апр 2017 22:57

Возможно ли штатными средствами Линукс создать пользователя, который сможет залогиниться по ssh, смотреть все запущенные процессы, читать любые файлы, но не сможет ничего никуда записывать и не сможет ничего запускать?
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36225 
Автор: yozza   (О пользователе) 
Дата:   10 Апр 2017 00:44

Возможно.
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36226 
Автор: yozza   (О пользователе) 
Дата:   10 Апр 2017 00:46

кстати, а логиниться, смотреть и читать он святым духом будет? учитывая последнюю хотелку :-D
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36227 
Автор: yozza   (О пользователе) 
Дата:   10 Апр 2017 00:49

Кстати, раз уж я тут, а что такое "штатные средства Линукс"? Никогда о таких не слышал ;-)
Ну различные системы RBAC вроде в официальном дереве сырцов ведра, считаем их штатными, но чтобы ими пользоваться необходимы минимальные юзерспейсовые инструменты, а вот их в "штатных средствах Линукс" никто не обещал :beach:
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36228 
Автор: kzv  
Дата:   10 Апр 2017 01:23

Суть в том, что хочу дать в общий доступ свой VDS чтобы любой желающий мог убедиться, что там не запущено всяких сниферов и прочей вирусни.
Нужно, чтобы пользователь мог читать список запущенных процессов и демонов, мог видеть - откуда эти процессы запущены и мог прочитать их код при желании, но чтобы не мог ничего сам выполнять кроме пожалуй текстового просмотрщика.
Штатные средства в том смысле, чтобы с минимальными затратами это все можно было сделать. Типа: установил из репозитория, сконфигурировал, запустил, работает.
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36229 
Автор: yozza   (О пользователе) 
Дата:   10 Апр 2017 09:01

:confused:
не майтесь ерундой, особенно если не очень понимаете, что нужно.
если нужен аудит сервера, найдите дядю которому доверяете.
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36230 
Автор: buddy   (О пользователе) 
Дата:   11 Апр 2017 20:04

Хотелки в целом вызывают недоумение.

Получается, что
а) есть заказчик, не просто параноидально озабоченный безопасностью, но и владеющий (полагающий себя владеющим) достаточной экспертизой в этом отношении;
б) есть VDS с некоторым сервисом, который требуется проверить на безопасность.

Поскольку "гость" может читать всё, то исключается задача защиты от копирования. И сразу возникает решение в лоб: пусть заказчик арендует свой доверенный VDS, на котором исполнитель запустит нужный сервис.

Приемлем ли такой вариант? Или параллельно стоит задача минимизировать затраты заказчика? Ну при том, что квалифицированный аудит явно не будет дешевым.

---

Фраза "чтобы любой желающий мог убедиться" наталкивает на мысль, что топикстартер открывает (публичный? массовый?) сервис, хранящий конфиденциальные данные и хочет дать возможность пользователям убедиться, что их данные никуда не утекают. Собственно данные, скорее всего, шифруются находящимися у клиентов ключами, поэтому "аудитор" доступа к открытым чужим данным не получит.

Даже если это так, то всё равно непонятно, что это за сервис такой, который страстно пожелали бы аудировать профессионалы? И зачем им аудировать сервер целиком, если есть возможность скопировать нужный код и повторить решение у себя?

[Сообщение изменено пользователем 12.04.2017 23:00]
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36231 
Автор: Ziplex  
Дата:   12 Апр 2017 09:23

Вариантов несколько
rbash
SELinux
Apparmor

Либо написать свой шел, с блекджеком.. и продажными женщинами ))))
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36232 
Автор: yozza   (О пользователе) 
Дата:   12 Апр 2017 10:13

дело не в вариантах, а в цели. которая изначально мутная и неправильная. "дать всем какой-то доступ куда-то чтобы все в чем-то убеждались.. но ничо такого не наделали".

да и selinux тут как поможет? он процессы в основном ограничивает, а не юзеров. потом, перелейбливать все файлы ради непонятно чего? ну тогда можно сразу к переустановке готовиться.

проблема в том, что автор похоже представляет себе решение (сперва толком не представляя задачи) как-то так: создаешь какого-то особенного юзера, в каком-то файлике пишешь - "этот_юзер_не_может_ничаво" и вуаля. хотя на самом деле это работает не совсем так. вернее совсем не так.
"прописать в файлике" можно ну разве что limits, может еще что-нибудь. и всё это не будет гарантировать автору, что ему ничем не смогут навредить. ломать не строить.

в принципе, реализовать можно всё, что не противоречит законам физики. за ваши деньги.
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36233 
Автор: Ziplex  
Дата:   12 Апр 2017 11:53

2 yozza, по поводу цели согласен, но это всего лишь одна из нетривиальных задач. Selinux может в этом помочь, но затраты на настройку будут не оправданы, с учетом того что должно быть ясное понимание.
Я из таких юзкейсов сразу вспоминаю honeypot может быть реально пускать гостей на него, они смогут делать все что угодно, только это будет фейк )))
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36234 
Автор: Ziplex  
Дата:   12 Апр 2017 12:24

Еще один из вариантов создать простого пользователя, сделать suid на ps(не секьюрно, конечно, но если те кто будут смотреть не являются гуру в области подмены системных вызовов, ну и еще есть пара моментов для хака в таком случае, неизвестен уровень смотрящих ), дабы дать возможность смотреть от рута процессы системы. Ну и до кучи setfacl дать read доступ к нужным файлам, перемонтировав корневую фс с возможностью acl.

Но это один хрен не хороший вариант...
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36235 
Автор: kzv  
Дата:   13 Апр 2017 01:14



Цитата:
От пользователя: buddy

Даже если это так, то всё равно непонятно, что это за сервис такой, который страстно пожелали бы аудировать профессионалы? И зачем им аудировать сервер целиком, если есть возможность скопировать нужный код и повторить решение у себя?


Да верно, имеется такой публичный сервис который может при желании поиметь секьюрные данные пользователей.
Некоторые не очень добросовестные пользователи начали распространять слухи, что якобы они сделали "ловушку" которая сработала: сервис ворует данные.
При этом исходник сервиса открыт. Но троли резонно замечают, что исходники на гитхабе могут и отличаться от исходников на сервере.

Вот и возникла идея - открыть сервер для публики на чтение.
Но судя по всему идея нереализуема или неоправданно сложна в реализации.
Так что всем спасибо за участие, оставлю все как есть.
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36236 
Автор: yozza   (О пользователе) 
Дата:   13 Апр 2017 09:42


Цитата:
От пользователя: kzv



это всё равно что доказывать, что ты не верблюд.
ВСЁ, что скармливается какой-либо формочке на любом сайте может теоретически отправиться куда угодно в каких угодно целях... а исполняемые файлы при желании можно менять хоть на лету.

так что тут решение скорее должно быть не айтишное, а анти-тролльное.
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36237 
Автор: maxmin  
Дата:   13 Апр 2017 20:07


Цитата:
От пользователя: kzv

Вот и возникла идея - открыть сервер для публики на чтение.

Потом надо будет доказать, что открытый сервер - это именно тот, который должен был подвергнуться аудиту. Потом надо будет доказать, что ловушки не убиваются при логине аудитора и не запускаются снова при логауте. Потом... :cool: :beach:
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36238 
Автор: buddy   (О пользователе) 
Дата:   14 Апр 2017 09:41



Цитата:
От пользователя: kzv

Некоторые не очень добросовестные пользователи начали распространять слухи, что якобы они сделали "ловушку" которая сработала: сервис ворует данные.


Ну что ж, если это не случайные сезонные отклонения у граждан, то вы можете себя поздравить: ваш сервис достаточно популярен и дальше неадекватов будет только больше :gun:

Бороться с этими троллями достаточно просто - если, конечно, вы сами уверены в безопасности вашего хостинга и решения. Достаточно публично предложить [небольшое] вознаграждение за подтвержденный факт извлечения чужих данных.
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36239 
Автор: kzv  
Дата:   14 Апр 2017 10:25

Это идея!
Пожалуй воспользуюсь!
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36240 
Автор: Saint_Byte[Бобро]  
Дата:   15 Апр 2017 22:54



Цитата:
От пользователя: maxmin

Потом надо будет доказать, что ловушки не убиваются при логине аудитора и не запускаются снова при логауте.

Зачем такие сложности - не проще ps пропатчить?
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36242 
Автор: wind-to-sky   (О пользователе) 
Дата:   20 Апр 2017 23:56

если пользователь заходит не с правами администратора, то он может делать и видеть только то, что ему разрешил администратор
как вариант, для таких "умных" можно повесить веб-сервер, который будет принимать произвольную команду с web-страницы (строка), проверять ее на разрешенность (тут будет интересно) и выдавать результат (текст)

а если apache посадить на 21 порт и научить правильно отдавать ответ ssh то никто и не узнает )))

вопрос в цене вопроса )
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36246 
Автор: Saint_Byte[Бобро]  
Дата:   01 Мая 2017 19:15



Цитата:
От пользователя: wind-to-sky

если пользователь заходит не с правами администратора, то он может делать и видеть только то, что ему разрешил администратор
как вариант, для таких "умных" можно повесить веб-сервер, который будет принимать произвольную команду с web-страницы (строка), проверять ее на разрешенность (тут будет интересно) и выдавать результат (текст)

а если apache посадить на 21 порт и научить правильно отдавать ответ ssh то никто и не узнает )))

Ты че наркоман ? Легче пропатчить sshd
Ответить   |  Поделиться:  
Re: Гостевой доступ в Линукс?   #36247 
Автор: Stanislav  
Дата:   02 Мая 2017 14:41



Цитата:
От пользователя: Saint_Byte[Бобро]

Ты че наркоман ? Легче пропатчить sshd



Нафига патчить? Ставим sslh и далее пусть он рулит, https это будет или ssh или вообще openvpn.
Ответить   |  Поделиться:  
Список Тем  |   Поиск  |   Правила  |   Статистика  |   Подписаться на тему

Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь. Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на эту же страницу)


 Мой E1 : Вход 
 
Вход для зарегистрированных пользователей:
E-mail:
Пароль:
Если Вы не зарегистрированы, то добро пожаловать на страницу регистрации.
Если Вы зарегистрированы, но забыли пароль, Вы можете его запросить.

Развернуть блок
 Погода