rssh - ক্লাউডে অনলাইন

কার্যক্রম:

NAME এর

rssh - সীমাবদ্ধ সুরক্ষিত শেল শুধুমাত্র scp এবং/অথবা sftp এর অনুমতি দেয়

সাইনোপিসিস

আরএসএস [ অপশন... ] [ ... ]
আরএসএস -v

বর্ণনাঃ

আরএসএস এর মাধ্যমে হোস্টে সীমিত অ্যাক্সেস প্রদানের জন্য একটি সীমাবদ্ধ শেল SSH(1), অনুমতি দেওয়া ক
ব্যবহারকারী যার শেল কনফিগার করা হয়েছে আরএসএস এক বা একাধিক কমান্ড ব্যবহার করতে scp কমান্ড(২০১১),
SFTP(1) CVS(২০১১), rdist(1), এবং rsync(1), এবং কেবল ঐ আদেশ. এটা প্রাথমিকভাবে উদ্দেশ্যে করা হয়
OpenSSH এর সাথে কাজ করতে (দেখুন http://www.openssh.com), কিন্তু অন্যের সাথে কাজ করতে পারে
বাস্তবায়ন

সিস্টেম অ্যাডমিনিস্ট্রেটরকে সীমাবদ্ধ সিস্টেমে শেল ইনস্টল করা উচিত। এরপর
যে কোন ব্যবহারকারীর পাসওয়ার্ড ফাইল এন্ট্রি যার জন্য এটি সীমাবদ্ধ অ্যাক্সেস প্রদান করতে পছন্দ করে
সম্পাদনা করা উচিত, যেমন তাদের শেল হয় আরএসএস। উদাহরণ স্বরূপ:

luser:x:666:666::/home/luser:/usr/bin/rssh

সঙ্গে আহ্বান করা হলে -v বিকল্প, আরএসএস এর সংস্করণ রিপোর্ট করবে এবং প্রস্থান করবে। অন্য সবকিছু
যুক্তি আরএসএস দূরবর্তী দ্বারা নির্দিষ্ট করা হয় SSH(1) ক্লায়েন্ট, এবং খুব বেশি নয়
গড় ব্যবহারকারীর উদ্বেগ। প্রদত্ত আর্গুমেন্ট রিমোট কি একটি শেল হতে হবে
নিয়ন্ত্রণ পাস করার জন্য শেষ প্রাপ্ত হবে scp কমান্ড(২০১১), SFTP(1), ইত্যাদি যদি আরএসএস পায়
আর্গুমেন্ট যা মানানসই নয়, এটি একটি ত্রুটি বার্তা নির্গত করবে এবং প্রস্থান করবে। প্রোগ্রাম হলে
ব্যবহারকারী চালানোর চেষ্টা করছে অনুমোদিত নয়, বা সিনট্যাক্স রয়েছে যা একটি চালানোর চেষ্টা করবে
শেল কমান্ড (যেমন একটি কমান্ড প্রতিস্থাপন), এটি একটি ত্রুটি নির্গত করবে এবং প্রস্থান করবে।

আরএসএস একটি কনফিগারেশন ফাইল আছে, rssh.conf(5), যা কিছু আচরণের অনুমতি দেয় আরএসএস থেকে
কাস্টমাইজ করা বিস্তারিত জানার জন্য সেই ম্যান পেজ দেখুন।

নিরাপত্তা নোট

পড়া এই অধ্যায় সঙ্গে ব্যতিক্রমী যত্ন, or আপনি may করা তোমার পদ্ধতি at ঝুঁকি!

ব্যবহার আরএসএস সঙ্গে জীবনবৃত্তান্ত
যদি আপনি ব্যবহার করছেন আরএসএস CVS অ্যাক্সেসের অনুমতি দেওয়ার জন্য, এটি উল্লেখ করা উচিত যে এটি সম্ভব নয়
CVS এর সাথে খুব পরিচিত একজন ব্যবহারকারীকে বাইপাস করা থেকে আটকান আরএসএস এবং একটি শেল পাওয়া,
যদি না ব্যবহারকারীর সংগ্রহস্থলে লেখার অ্যাক্সেস না থাকে। স্পষ্টতই, ব্যবহারকারী অবশ্যই
এটি আপডেট করার জন্য সংগ্রহস্থলে লেখার অ্যাক্সেস আছে, যা তাদের আপলোড করার অনুমতি দেয়
সংগ্রহস্থল মধ্যে নির্বিচারে প্রোগ্রাম. সিভিএস কার্যকর করার জন্য বিভিন্ন প্রক্রিয়া প্রদান করে
এই ধরনের নির্বিচারে প্রোগ্রাম... ব্যবহার করার একমাত্র যুক্তিসঙ্গত নিরাপদ উপায় আরএসএস CVS এর সাথে ব্যবহার করতে হয়
একটি chroot জেলের মধ্যে CVS সংগ্রহস্থল রাখার জন্য chroot জেলের সুবিধা। দয়া করে দেখুন
নীচে এবং সমস্ত প্রাসঙ্গিক ডকুমেন্টেশন বিস্তারিত বিবরণের জন্য কিভাবে chroot জেল সেট আপ করতে হয়। মনে রাখবেন যে
ব্যবহারকারী ইচ্ছা এখনো be সক্ষম থেকে পাওয়া খোল প্রবেশ মধ্যে দ্য জেল; একমাত্র সুরক্ষা যা
শর্ত থাকে যে তারা জেল থেকে পালাতে পারবে না। আমাকে সমর্থন ধরে রাখার জন্য অনুপ্রাণিত করা হয়েছে
CVS এর জন্য কারণ এই সুরক্ষা কোন সুরক্ষার চেয়ে ভাল। আপনি আছে হয়েছে সতর্ক করে দিয়েছিলেন। ব্যবহার
জীবনবৃত্তান্ত at তোমার নিজের ঝুঁকি।

সম্ভাব্য শিকড় আপস সঙ্গে পুরাতন সংস্করণ
সামনে আরএসএস 2.3.0, যদি একজন নিয়মিত ব্যবহারকারীর একটি মেশিনে শেল অ্যাক্সেস থাকে যেখানে আরএসএস ছিল
ইনস্টল, একটি রুট আপস কারণে সম্ভব ছিল rssh_chroot_helper একটি ব্যবহারকারীর অনুমতি দেয়
ইচ্ছামত ক্রুট(2) ফাইল সিস্টেমের যে কোনো জায়গায়। এটি প্রশমিত করা সম্ভব
এর প্রভাবিত সংস্করণগুলির বিরুদ্ধে আক্রমণ আরএসএস ফাইলগুলিতে কঠোর অ্যাক্সেস নিয়ন্ত্রণ ব্যবহার করে, তৈরি করে
নিশ্চিত করুন যে ব্যবহারকারী সিস্টেম এক্সিকিউটেবলের মতো একই পার্টিশনে কোনো ফাইল লিখতে পারবেন না,
এবং যে কোনো পার্টিশন যেখানে তারা ফাইল লিখতে পারে SUID কার্যকর করার অনুমতি দেয় না
প্রোগ্রাম হিসাবে আরএসএস 2.3.0, স্বেচ্ছাচারিতা ঠেকিয়ে এই হামলা ঠেকানো হয়েছে
chroot(), if তোমার জেল is সেট up নিরাপদে. বিশেষ করে, নিয়মিত ব্যবহারকারীদের নিশ্চিত করুন
কপি করা বাইনারি ধারণ করে জেলের ভিতরের ডিরেক্টরিতে লিখতে পারবেন না। যে
সুস্পষ্ট হতে হবে, কিন্তু এটা বলা প্রয়োজন. যদিও এটি কঠোরভাবে প্রয়োজনীয় হওয়া উচিত নয়,
সম্ভাব্য আপস থেকে আপনার সিস্টেমকে আরও রক্ষা করতে, এটি অনুসরণ করার পরামর্শ দেওয়া হয়
নীচের বিভাগটি, "আরএসএস বাইপাস করার বিরুদ্ধে সুরক্ষা" শিরোনাম।

সুরক্ষা বিরুদ্ধে বাইপাস আরএসএস
আরএসএস অনেক অন্যান্য প্রোগ্রামের সাথে ইন্টারঅ্যাক্ট করার জন্য ডিজাইন করা হয়েছে। এমনকি যদি rssh সম্পূর্ণ বাগ-
বিনামূল্যে, সেই অন্যান্য প্রোগ্রামগুলির পরিবর্তনের ফলে সম্ভবত রোধ করার পদ্ধতি হতে পারে
সুরক্ষা যে আরএসএস প্রদান করার উদ্দেশ্যে করা হয়। It is গুরুত্বপূর্ণ উন্নত আপনি, দ্য পদ্ধতি
প্রশাসক, থেকে থাকা বর্তমান on দ্য সেবা আপনি করা সহজলভ্য সঙ্গে আরএসএস, থেকে be নিশ্চিত
যে এইগুলো কমান্ড do না প্রদান মেকানিজম থেকে অনুমতি দ্য ব্যবহারকারী থেকে চালান অবাধ কমান্ড।
এছাড়াও, প্রতিটি রিলিজের লক্ষ্য বাগ মুক্ত হওয়া, কেউই নিখুঁত নয়... হতে পারে
অনাবিষ্কৃত বাগ হতে আরএসএস যা একজন ব্যবহারকারীকে এটিকে ফাঁকি দেওয়ার অনুমতি দিতে পারে।

আপনি আপনার সিস্টেমকে তাদের থেকে রক্ষা করতে পারেন যারা এই ধরনের দুর্বলতার সুযোগ নেবে। এই
জন্য প্রয়োজন হয় না আরএসএস সঠিকভাবে কাজ করতে, কিন্তু এটা সত্যিই একটি ভাল ধারণা. ছয় আছে
মৌলিক পদক্ষেপ:

1. সমস্ত নন-প্রশাসক অ্যাকাউন্টগুলিকে rssh দিয়ে সুরক্ষিত করুন (অর্থাৎ কোন নিয়মিত ব্যবহারকারী নয়
সার্ভারে শেল অ্যাক্সেস থাকা উচিত)

2. আপনার ব্যবহারকারীদের একটি ক্রুট জেলে রাখুন

3. কারাগারে বসবাসকারী বাইনারিগুলিকে পরম ন্যূনতম প্রয়োজনে সীমাবদ্ধ করুন

4. noexec/nosuid বিকল্পের সাথে তাদের হোম ফাইল সিস্টেম মাউন্ট করুন (যেমন আলাদা ব্যবহার করুন
ব্যবহারকারীর হোম ডিরেক্টরি এবং অন্যান্য সমস্ত ফাইলের জন্য জেলে পার্টিশন, যদি
সম্ভব/যৌক্তিক)

5. rssh ব্যবহারকারীদের জন্য একটি গ্রুপ তৈরি করুন এবং বাইনারিগুলিতে এক্সিকিউটেবল অ্যাক্সেস সীমিত করুন
সেই গ্রুপের ব্যবহারকারীদের কাছে।

6. সাবধানে এবং যথাযথভাবে স্ট্যান্ডার্ড ফাইল অনুমতি ব্যবহার করুন

যদি সম্ভব হয়, নিশ্চিত করুন যে কোনো নিয়মিত ব্যবহারকারীর সিস্টেমে কোনো ধরনের শেল অ্যাক্সেস নেই
মাধ্যমে ছাড়া অন্য আরএসএস. অন্যথায়, শেল অ্যাক্সেস সহ ব্যবহারকারীরা সম্ভাব্য শোষণ করতে পারে
মধ্যে অনাবিষ্কৃত বাগ rssh_chroot_helper সার্ভারে রুট অ্যাক্সেস পেতে।

আরএসএস সিস্টেম অ্যাডমিনিস্ট্রেটরকে ব্যবহারকারীদের একটি ক্রুট জেলে রাখার ক্ষমতা দেয়। দেখা
এর জন্য ম্যান পেজে বিস্তারিত rssh.conf এবং ফাইলে CHROOT যা দিয়ে বিতরণ করা হয়
সোর্স কোড. আপনি যদি নিশ্চিত করতে চান যে ব্যবহারকারীরা নির্বিচারে প্রোগ্রাম চালাতে পারবেন না, একটি chroot ব্যবহার করুন
জেল, এবং একেবারে প্রয়োজনীয় যা ছাড়া অন্য কোনো প্রোগ্রাম করা না নিশ্চিত করুন
আপনি যে পরিষেবা দেওয়ার চেষ্টা করছেন তা প্রদান করুন। এটি তাদের স্ট্যান্ডার্ড চালানো থেকে বাধা দেয়
সিস্টেম কমান্ড।

তারপর, নিশ্চিত করুন যে জেলের ভিতরে ব্যবহারকারীর ফাইলগুলি আপনার থেকে একটি পৃথক ফাইল সিস্টেমে রয়েছে
সিস্টেমের এক্সিকিউটেবল। আপনার পরিবেশে সম্ভব হলে, আপনি এটি মাউন্ট নিশ্চিত করুন
ফাইল সিস্টেম ব্যবহার করে noexec এবং nosuid বিকল্প, যদি আপনার অপারেটিং সিস্টেম সেগুলি প্রদান করে।
এটি ব্যবহারকারীদের তারা আপলোড করা প্রোগ্রামগুলি কার্যকর করতে সক্ষম হতে বাধা দেয়
টার্গেট মেশিন (যেমন scp ব্যবহার করে) যা অন্যথায় এক্সিকিউটেবল হতে পারে এবং SUID প্রতিরোধ করে
SUID বিট সম্মান থেকে প্রোগ্রাম. মনে রাখবেন যে এই বিকল্পগুলি ব্যবহারকারীদের প্রয়োজনীয়
ফাইলগুলি জেলে থাকা বাইনারি এবং লাইব্রেরি থেকে আলাদা পার্টিশনে রয়েছে।
তাই আপনার জেলের জন্য এটি সঠিকভাবে করার জন্য আপনার কমপক্ষে 2টি পার্টিশনের প্রয়োজন হবে (এর জন্য একটি
জেলে সিস্টেম বাইনারি, অন্যটি ব্যবহারকারী ডিরেক্টরির জন্য)।

উপরন্তু, rssh ব্যবহারকারীদের জন্য একটি গ্রুপ তৈরি করুন, উদাহরণস্বরূপ "rsshuser",। আপনার সব ব্যবহারকারীদের রাখুন
যারা সেই গ্রুপে rssh দ্বারা সীমাবদ্ধ থাকবে। rssh-এ মালিকানা এবং অনুমতি সেট করুন
এবং rssh_chroot_helper যাতে শুধুমাত্র সেই ব্যবহারকারীরা সেগুলি চালাতে পারে। নিম্নলিখিত কমান্ড
ব্যাখ্যা করা উচিত:

# গ্রুপড rsshuser
# chown root:rshuser আরএসএস rssh_chroot_helper
# chmod 550 আরএসএস
# chmod 4550 rssh_chroot_helper

সবশেষে, ইউনিক্স/পোসিক্স ফাইলের অনুমতিগুলি ব্যবহার করুন যাতে তারা তাদের ফাইলগুলি অ্যাক্সেস করতে না পারে
চরূট জেলের মধ্যে থাকা উচিত নয়।

আদেশ লাইন পার্সার
হিসাবে আরএসএস সংস্করণ 2.2.3, প্রোগ্রামটিকে এড়ানোর জন্য সম্পূর্ণ কমান্ড লাইনটি পার্স করতে হবে
কমান্ড লাইন বিকল্পগুলি যা নির্বিচারে প্রোগ্রামগুলি সম্পাদন করে (এবং তাই বাইপাস করে
সুরক্ষা আরএসএস) প্রোগ্রাম সোর্স কোড বুদ্ধিমান রাখার জন্য, পার্সার সামান্য
কমান্ড লাইন বিকল্পের সাথে মিলের বিষয়ে অতি-উৎসাহী। অনুশীলনে, এটি সম্ভবত হবে না
একটি সমস্যা, কিন্তু তাত্ত্বিকভাবে এটি সম্ভব।

কোন সমস্যায় পড়লে কোথায় আরএসএস অনিরাপদ প্রত্যাখ্যান করার দাবি করে দৌড়াতে অস্বীকার করে
কমান্ড লাইন বিকল্পগুলি যা নির্দিষ্ট করা হয়নি, আপনার কমান্ড লাইন পরিবর্তন করার চেষ্টা করুন
সব সংক্ষিপ্ত বিকল্পগুলি একক-অক্ষর বিকল্প পতাকা হিসাবে নির্দিষ্ট করা হয়েছে (যেমন -ep এর পরিবর্তে -e -p)
এবং নিশ্চিত করুন যে আপনি একটি স্পেস দ্বারা তাদের নিজ নিজ বিকল্প থেকে আর্গুমেন্ট আলাদা করেছেন (যেমন -p 123
-p123 এর পরিবর্তে)। কার্যত সব ক্ষেত্রে, এটি সমস্যার সমাধান করা উচিত। স্বীকার্য, একটি
সম্পূর্ণ অনুসন্ধান সঞ্চালিত হয়নি, কিন্তু কোন সমস্যাযুক্ত কেস পাওয়া যায়নি যা ছিল
সাধারণ হতে পারে।

বিকল্পটি হল rcp, rdist, এর জন্য একটি সম্পূর্ণ কমান্ড-লাইন পার্সার অন্তর্ভুক্ত করা।
এবং rsync; এটি এই প্রকল্পের সুযোগের বাইরে ছিল। অনুশীলনে, বিদ্যমান
পার্সার যথেষ্ট হওয়া উচিত। যাইহোক, যদি আপনি এমন ক্ষেত্রে খুঁজে পান যেখানে এটি নেই, অনুগ্রহ করে বিস্তারিত পোস্ট করুন
rssh মেইলিং লিস্টে। মেইলিং লিস্টে কীভাবে পোস্ট করবেন সে সম্পর্কে বিস্তারিত পাওয়া যাবে
rssh হোমপেজ।

OpenSSH- র সংস্করণ এবং বাইপাস আরএসএস
OpenSSH 3.5 এর আগে, sshd কমান্ড(8) সাধারণত ব্যবহারকারীর বাড়িতে ফাইল পার্স করার চেষ্টা করবে
ডিরেক্টরি, এবং ব্যবহারকারীর থেকে একটি স্টার্ট-আপ স্ক্রিপ্ট চালানোর চেষ্টা করতে পারে $HOME/.ssh ডিরেক্টরি.
আরএসএস কোনোভাবেই ব্যবহারকারীর পরিবেশ ব্যবহার করে না। প্রাসঙ্গিক আদেশ হল
কল করে মৃত্যুদন্ড কার্যকর করা হয়েছে execv(3) কমান্ডের সম্পূর্ণ পথ সহ, যেমন কম্পাইলে উল্লেখ করা হয়েছে
সময় এটি ব্যবহারকারীর PATH ভেরিয়েবল বা অন্য কোন পরিবেশের উপর নির্ভর করে না
পরিবর্তনশীল।

যাইহোক, বেশ কিছু সমস্যা দেখা দিতে পারে। এই পথ সম্পূর্ণরূপে কারণে
OpenSSH প্রজেক্টের sshd কাজ করে, এবং কোনভাবেই এর দোষ নয় আরএসএস. উদাহরণস্বরূপ, এক
সমস্যা যা বিদ্যমান হতে পারে, অনুযায়ী sshd কমান্ড(8) অন্তত কিছু থেকে ম্যান পেজ
OpenSSH-এর রিলিজ, তে তালিকাভুক্ত কমান্ড $HOME/.ssh/rc ফাইল দিয়ে নির্বাহ করা হয়
/ বিন / SH ব্যবহারকারীর সংজ্ঞায়িত শেল পরিবর্তে। এই ক্ষেত্রে দেখা যাচ্ছে না
লেখক পরীক্ষা করার জন্য উপলব্ধ ছিল সিস্টেম; কমান্ড ব্যবহারকারীর ব্যবহার করে নির্বাহ করা হয়
কনফিগার করা শেল (আরএসএস), যা কার্যকর করার অনুমতি দেয়নি। যাইহোক যদি এটি আপনার উপর সত্য হয়
সিস্টেম, তারপরে একটি দূষিত ব্যবহারকারীকে বাধা দিতে সক্ষম হতে পারে আরএসএস একটি ফাইল আপলোড করে
$HOME/.ssh/rc যা দ্বারা মৃত্যুদন্ড কার্যকর করা হবে / বিন / SH যে সিস্টেমে যদি কোন রিলিজ (এর
ওপেনএসএসএইচ) আসলে, এই সমস্যার জন্য ঝুঁকিপূর্ণ, তারপরে তাদের হওয়ার সম্ভাবনা খুব বেশি
শুধুমাত্র পুরানো, পুরানো সংস্করণ। যতক্ষণ না আপনি OpenSSH এর একটি সাম্প্রতিক সংস্করণ চালাচ্ছেন, এটি
যতদূর আমি বলতে পারি সমস্যা হওয়া উচিত নয়।

যদি আপনার sshd is এই আক্রমণের জন্য ঝুঁকিপূর্ণ, যদিও এই সমস্যার জন্য একটি সমাধান আছে
এটা বেশ সীমাবদ্ধ. সার্জারির ব্যবহারকারীর বাড়ি ডিরেক্টরি একেবারে অবশ্যই না be লিখনযোগ্য by
দ্য ব্যবহারকারী। যদি এটি হয়, ব্যবহারকারী ডিরেক্টরিটি অপসারণ করতে বা এটির নাম পরিবর্তন করতে sftp ব্যবহার করতে পারেন এবং তারপরে
একটি নতুন তৈরি করুন, এবং তাদের পছন্দের পরিবেশ ফাইল দিয়ে এটি পূরণ করুন। প্রদানের জন্য
ফাইল আপলোড, এর মানে তাদের জন্য একটি ব্যবহারকারী-লেখাযোগ্য ডিরেক্টরি তৈরি করা আবশ্যক, এবং তাদের অবশ্যই
এটি ছাড়া তাদের হোম ডিরেক্টরিতে লিখতে তাদের অক্ষমতা সম্পর্কে সচেতন করা হবে
অবস্থান।

একটি দ্বিতীয় সমস্যা হল যে ব্যবহারকারীকে প্রমাণীকরণ করার পরে, sshdও পড়ে
$HOME/.ssh/environment ব্যবহারকারীকে তাদের পরিবেশে ভেরিয়েবল সেট করার অনুমতি দিতে। এই
ব্যবহারকারীকে সম্পূর্ণভাবে ঠেকাতে দেয় আরএসএস এই ধরনের পরিবেশের চতুর ম্যানিপুলেশন দ্বারা
ভেরিয়েবল হিসাবে LD_LIBRARY_PATH or LD_PRELOAD আরএসএস বাইনারিকে স্বেচ্ছাচারিতার বিরুদ্ধে লিঙ্ক করতে
ভাগ করা লাইব্রেরি। এটি একটি সমস্যা থেকে প্রতিরোধ করার জন্য, সংস্করণ 0.9.3 হিসাবে, দ্বারা
ডিফল্ট আরএসএস এখন স্থিরভাবে সংকলিত হয়। উপরে উল্লিখিত নিষেধাজ্ঞামূলক কাজ হবে
এছাড়াও এই ধরণের আক্রমণকে পরাজিত করুন।

OpenSSH 3.5 অনুযায়ী, sshd কমান্ড এখন বিকল্প সমর্থন করে পারমিট ইউজার এনভায়রনমেন্ট যা "না" তে সেট করা হয়েছে
গতানুগতিক. এই বিকল্প সীমাবদ্ধ শেল মত অনুমতি দেয় আরএসএস ছাড়া সঠিকভাবে কাজ করতে
তাদের স্ট্যাটালি লিঙ্ক করা প্রয়োজন. হিসাবে আরএসএস সংস্করণ 1.0.1, কনফিগার স্ক্রিপ্ট
OpenSSH 3.5 উপস্থিত রয়েছে তা সনাক্ত করা উচিত এবং স্ট্যাটিক সংকলনের ডিফল্ট নিষ্ক্রিয় করা উচিত।

onworks.net পরিষেবা ব্যবহার করে অনলাইনে rssh ব্যবহার করুন