-----Original Message----- From: Stephan Goetter [SMTP:sg17@inf.tu-dresden.de] Sent: Dienstag, 11. Januar 2000 11:57 To: lug-dd@schlittermann.de Subject: [Lug-dd] Offenes Login
Hi,
ich hab ein "offenes" Login ohne Passwort angelegt, und will als loginshell ein Programm mit Parametern ausführen.
Da das mit der passwd nicht geht (Parameter), hab ich folg. Shellscript als Loginshell eingestellt.
#!/bin/sh exec Program Parameter
Was macht das Proggy denn ?
Wie gesagt, das Login hat kein Passwort, da das jeder nutzen können soll.
Logo ...
Telnet/SSH soll möglich sein.
Wie telnet ? also letztendlich ist Proggy doch eine Shell ?
Nun ist das ja ein kleines/großes Sicherheitsloch, und ich will das jetzt absichern.
Kommt drauf an, auf Proggy ! Wenn's 'ne Shell ist, ist es gross - wenn's 'ne MessageBox ist klein!
Wenn ihr das hacken wolltet, wie würdet ihr das anstellen wollen ?
Auf keinen Fall wuerde ich diesen boesen Buben auf meine Platte schauen lassen, er bekommt ein eigenes kleines nettes nach meinen Beduerfnissen minimiertes Environment. chroot /eigenes/root/file/system Da kann man nun /bin, /usr/bin, usw. anlegen und halt alles drauftun, was der Knabe braucht, ohne staendig Panik zu haben. Uebrigens macht ftp das auch so!
Ich hatte an folgendes gedacht:
- Homeverzeichnis leer,readonly und gehört jemand anders (z.b. root :) Da muss dann noch ne readonly .bashrc rein mit:
Oder (s.o.) chroot ~/root-file-system und cd / als letzter Befehl ... dann sieht der nichts mehr !
<snip> unset MAILCHECK <snip>
Weiß jemand wie man das mit Last login .... abstellt ?
man bash ?
- ftpzugang nicht möglich: echo "User" >> /etc/ftpusers
Warum eigentlich nicht, da hast Du ihn doch auch unter Kontrolle ... halt wie 'anonymous'
Wie kann ich folgendes möglichst einfach (transparent) einstellen/konfigurieren ?
- Mail senden/empfangen nicht möglich
Gib ihm kein Mailprogramm.
- HTTP/CGI nicht möglich
Gib ihm keinen Browser
- Loginshell ändern nicht möglich (kann man die loginshell als User unter Linux ändern ? hier im Rechenzentrum kann ich das machen, ist scheinbar ein
selbstgeschriebenes/geändertes passwd)
Ist nicht ... und selbst wenn, passwd kennt er nicht mehr !
- Anzahl der gleichzeitigen logins beschränken, wegen DOS-Attacke
(das Programm würde ja jedesmal gestartet, nimmt zwar nicht viel Resourcen weg, aber immerhin ...)
Da koentest Du z.B. eine Datei im HOME anlegen. Der .login script sollte sich darin anmeldenderweise eintragen, der .logout sollte sich dann abmeldenderweise austragen.
Was sollte man noch alles machen ?
Bleibt fuer mich die Frage, was eigentlich soll der Nutzer machen ? Schliesslich hast Du ihm nun wirklich fast alles verboten ... na gut $> export Windows=GrosserMist sollte noch gehen ... aber ob das jemanden echt begeistert ?
Willi