Hej,
Jeg har en ubuntu 9.10 server der primært er webserver og irc server.
I den anledning kunne jeg godt tænke mig at dele nogle shells ud til nogle mennesker. Men jeg kender dem ikke, de skal kun bruge den til irc.
Hvordan laver man en user der ikke har nogle priveligies eller noget i den stil men kun kan bruge irc eller andre harmløse ting?
shell account
-
jlouis
- Indlæg: 56
- Tilmeldt: 10. aug 2009, 00:23
- IRC nickname: jlouis
Re: shell account
didriksmidt skrev:Hej,
Jeg har en ubuntu 9.10 server der primært er webserver og irc server.
I den anledning kunne jeg godt tænke mig at dele nogle shells ud til nogle mennesker. Men jeg kender dem ikke, de skal kun bruge den til irc.
Hvordan laver man en user der ikke har nogle priveligies eller noget i den stil men kun kan bruge irc eller andre harmløse ting?
Det første du skal overveje er at det er meget nemmere at finde sikkerhedsfejl når man først har en shell end hvis man ikke har. Der er langt flere eksponeringer som kan angribes, hvis de har et hul. Det andet du skal overveje er at det bliver væsentligt at rettigheder er sat rigtigt på filer du ikke vil dele med andre. Mere end normalt. Det tredie du skal overveje er hvem der juridisk set hæfter hvis nogen laver lort på maskinen. For det fjerde bliver det dit ansvar som administrator at hjælpe de andre brugere med deres problemer.
Med andre ord: Du skal stole på folk i en eller anden grad som du må gøre op med dig selv hvad er. Noget af risikoen kan reduceres ved ikke at have for mange programmer installeret der er setuid root.
En bruger som er tilføjet med "useradd -m" og derefter har fået sat et password med passwd kommandoen har relativt få rettigheder. Hvis vedkommende skal have flere skal han enten være i en passende group, eller stå i sudoers gennem en group eller eksplicit ved eget login.