Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi öykünücüsü veya MAC OS çevrimiçi öykünücüsü gibi birden çok ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen rssh komutudur.
Program:
ADI
rssh - yalnızca scp ve/veya sftp'ye izin veren kısıtlı güvenli kabuk
SİNOPSİS
RSSH [ seçenekler... ] [ Kendi ID’n ile mağazalarını oluştur ]
RSSH -v
AÇIKLAMA
RSSH aracılığıyla bir ana bilgisayara sınırlı erişim sağlamak için sınırlı bir kabuktur. ssh(1), izin veren
kabuğu yapılandırılan kullanıcı RSSH komutlardan birini veya daha fazlasını kullanmak için scp(1)
sftp(1) cvs(1) ilk(1), ve rsync(1), ve bir tek bu komutlar. Öncelikle amaçlanmaktadır
OpenSSH ile çalışmak için (bkz. http://www.openssh.com), ancak diğerleriyle çalışabilir
uygulamalar.
Sistem yöneticisi, kabuğu kısıtlı sisteme yüklemelidir. Sonra
Kısıtlı erişim sağlanması istenen herhangi bir kullanıcının şifre dosyası girişi
kabukları olacak şekilde düzenlenmelidir RSSH. Örneğin:
kullanıcı:x:666:666::/home/luser:/usr/bin/rssh
ile çağrılırsa -v seçeneği RSSH sürümünü rapor edecek ve çıkacaktır. Diğer tüm
argümanlar RSSH uzaktan kumanda tarafından belirtilenler ssh(1) müşteri ve çok fazla değil
ortalama kullanıcı için endişe. Sağlanan argümanlar, uzaktan kumandadaki bir kabuk olmalıdır
kontrolü geçmek için son alacaktı scp(1) sftp(1), vb. RSSH alır
uygun olmayan argümanlar, bir hata mesajı yayar ve çıkar. eğer program
kullanıcının çalıştırmaya çalıştığına izin verilmiyor veya çalıştırmayı deneyecek sözdizimi içeriyor
kabuk komutu (komut ikamesi gibi), ayrıca bir hata yayar ve çıkar.
RSSH bir yapılandırma dosyasına sahip, rssh.conf(5), bazı davranışlarına izin veren RSSH için
özelleştirilebilir. Ayrıntılar için o adam sayfasına bakın.
NOTLAR
Okumak Re-Tweet Bölüm ile olağanüstü bakım, or sen eğer yalnızca sığınmacı statüleri sona erdirilmemişse, kalıcı oturma iznine koymak senin sistem at risk!
kullanma RSSH İle CVS
Eğer kullanıyorsanız RSSH CVS erişimine izin vermek için, bunun mümkün olmadığına dikkat edilmelidir.
CVS'ye çok aşina olan bir kullanıcının atlamasını önlemek RSSH ve bir kabuk almak,
kullanıcının depoda yazma erişimi yoksa. Açıkçası, kullanıcı gerekir
güncellemek için depoya yazma erişimine sahiptir, bu da onların yüklemelerine izin verir
keyfi programlar depoya. CVS, yürütme için çeşitli mekanizmalar sağlar
bu tür keyfi programlar... Kullanmanın tek makul güvenli yolu RSSH CVS ile kullanmaktır
CVS deposunu bir chroot hapishanesine yerleştirmek için chroot hapishanesi tesisleri. Bakınız
chroot hapishanelerinin nasıl kurulacağına ilişkin ayrıntılar için aşağıda ve ilgili tüm belgeler. Bunu not et
kullanıcılar irade yine de be yapabilmek için almak kabuk erişim içinde the hapis; olan tek koruma
şartıyla hapisten kaçamazlar. Desteği korumak için takip edildim
CVS için çünkü bu koruma, koruma olmamasından daha iyidir. Sen var olmuştur uyardı. Kullanım
CVS at senin kendi riski.
Potansiyel kök Uzlaşma İle Eski sürümler
önce RSSH 2.3.0, normal bir kullanıcının bir makineye kabuk erişimi varsa, RSSH oldu
yüklü, bir kök uzlaşması nedeniyle mümkün oldu rssh_chroot_helper bir kullanıcının izin vermesi
keyfi olarak chroot(2) dosya sisteminde herhangi bir yere. Bunu azaltmak mümkün
etkilenen sürümlerine karşı saldırı RSSH dosyalara sıkı erişim kontrolleri kullanarak,
kullanıcının sistem yürütülebilir dosyalarıyla aynı bölümdeki herhangi bir dosyaya yazamayacağından emin olun,
ve dosya yazabilecekleri herhangi bir bölümün SUID'nin yürütülmesine izin vermediğini
programlar. itibariyle RSSH 2.3.0, bu saldırı keyfi engellenerek önlenmiştir.
kök(), if senin hapis is set up Güvenli. Özellikle, düzenli kullanıcıların
kopyalanan ikili dosyaları içeren hapishane içindeki dizinlere yazamaz. o
açık olmalı, ama söylenmesi gerekiyor. Kesinlikle gerekli olmamasına rağmen,
sisteminizi olası bir uzlaşmadan daha fazla korumak için, aşağıdakileri izlemeniz de tavsiye edilir.
"rssh'yi Atlamaya Karşı Önlemler" başlıklı aşağıdaki bölüm.
Koruma Önlemleri Karşı atlama RSSH
RSSH diğer birçok programla etkileşime girecek şekilde tasarlanmıştır. rssh tamamen bug olsa bile
ücretsiz, bu diğer programlardaki değişiklikler muhtemelen
koruma RSSH sağlamaya yöneliktir. It is önemli için Eğer, the sistem
yönetici, için kalmak akım on the Hizmetler sen yapmak mevcut ile RSSH, için be elbette
o bunlar komutlar do değil sağlamak mekanizmaları için izin vermek the kullanıcı için koşmak keyfi emreder.
Ayrıca, her sürümün amacı hatasız olmak olsa da, hiç kimse mükemmel değildir...
keşfedilmemiş böcekler olmak RSSH bu da bir kullanıcının onu atlatmasına izin verebilir.
Sisteminizi bu tür zayıflıklardan faydalanacak olanlardan koruyabilirsiniz. Bu
için gerekli değil RSSH düzgün çalışmak, ama bu gerçekten iyi bir fikir. Altı vardır
basit adımlar:
1. yönetici olmayan tüm hesapları rssh ile koruyun (yani normal kullanıcı yok
sunucuya kabuk erişimi olmalıdır)
2. kullanıcılarınızı bir chroot hapishanesine yerleştirin
3. Hapishanede yaşayan ikili dosyaları, gereken mutlak minimumla sınırlayın
4. ev dosya sistemlerini noexec/nosuid seçeneğiyle bağlayın (yani ayrı
kullanıcı ev dizinleri ve diğer tüm dosyalar için hapishanedeki bölümler, eğer
mümkün/makul)
5. rssh kullanıcıları için bir grup oluşturun ve ikili dosyalara yürütülebilir erişimi sınırlayın
bu gruptaki kullanıcılara.
6. standart dosya izinlerini dikkatli ve uygun şekilde kullanın
Mümkünse, hiçbir normal kullanıcının sisteme herhangi bir kabuk erişimi olmadığından emin olun.
dışında RSSH. Aksi takdirde, kabuk erişimi olan kullanıcılar potansiyel olarak
keşfedilmemiş hatalar rssh_chroot_helper sunucuya kök erişimi sağlamak için.
RSSH sistem yöneticisine kullanıcıları bir chroot hapishanesine yerleştirme yeteneği verir. Görmek
için man sayfasındaki ayrıntılar rssh.conf ve dosyada KROOT ile dağıtılan
kaynak kodu. Kullanıcıların rastgele programları çalıştıramayacaklarından emin olmak istiyorsanız, bir chroot kullanın.
hapse atın ve kesinlikle gerekli olanlar dışında herhangi bir program koymadığınızdan emin olun.
sağlamaya çalıştığınız hizmeti sağlayın. Bu, standart çalıştırmalarını engeller
sistem komutları
Ardından, kullanıcının hapishanedeki dosyalarının sizinkinden ayrı bir dosya sisteminde olduğundan emin olun.
sistemin yürütülebilir dosyaları. Çevrenizde mümkünse, bunu monte ettiğinizden emin olun.
kullanarak dosya sistemi noexec ve susuz seçenekleri, işletim sisteminiz sağlıyorsa.
Bu, kullanıcıların yükledikleri programları çalıştırabilmelerini engeller.
aksi halde yürütülebilir olabilecek ve SUID'yi önleyen hedef makine (örn. scp kullanarak)
SUID bitlerine saygı duyan programlar. Bu seçeneklerin kullanıcıların
dosyalar, hapishanede yaşayan ikili dosyalardan ve kitaplıklardan ayrı bölümlerde bulunur.
Bu nedenle, hapishanenizin bunu düzgün bir şekilde yapması için en az 2 bölüme ihtiyacınız olacak (biri
hapishanedeki sistem ikili dosyaları, diğeri kullanıcı dizinleri için).
Ayrıca, rssh kullanıcıları için "rsshuser" gibi bir grup oluşturun. Tüm kullanıcılarınızı koyun
o grupta kim rssh tarafından kısıtlanacak. Sahipliği ve izinleri rssh'de ayarlayın
ve rssh_chroot_helper, böylece yalnızca bu kullanıcılar bunları çalıştırabilir. Aşağıdaki komutlar
açıklamalıdır:
# grup ekle rssuser
# chown kök:rssuser RSSH rssh_chroot_helper
# chmod 550 RSSH
# chmod 4550 rssh_chroot_helper
Son olarak, erişemedikleri dosyalara erişemeyeceklerinden emin olmak için standart Unix/POSIX dosya izinlerini kullanın.
chroot hapishanesine girememeli.
Komuta çizgi Ayrıştırıcı
Itibariyle RSSH 2.2.3 sürümünde, programın tüm komut satırını ayrıştırması gerekir.
keyfi programların yürütülmesine neden olan komut satırı seçenekleri (ve dolayısıyla
güvenliği RSSH). Programın kaynak kodunu aklı başında tutmak için, ayrıştırıcı biraz
komut satırı seçeneklerini eşleştirme konusunda aşırı istekli. Uygulamada, bu muhtemelen olmayacak
bir sorun, ancak teoride mümkün.
nerede bir sorunla karşılaşırsanız RSSH güvensiz olduğunu iddia ederek kaçmayı reddediyor
belirtilmemiş komut satırı seçenekleri, komut satırınızı şu şekilde değiştirmeyi deneyin:
herşey kısa seçenekler tek harfli seçenek işaretleri olarak belirtilir (örneğin -ep yerine -e -p)
ve argümanları ilgili seçeneklerden bir boşlukla ayırdığınızdan emin olun (örneğin -p 123
-p123 yerine). Hemen hemen tüm durumlarda, bu sorunu çözmelidir. Kuşkusuz, bir
kapsamlı bir arama yapılmadı, ancak sorunlu herhangi bir vaka bulunamadı.
yaygın olması muhtemeldir.
Alternatif, rcp, rdist için eksiksiz bir komut satırı ayrıştırıcısı eklemek olabilirdi.
ve rsync; bu, bu projenin kapsamı dışındaydı. Uygulamada, mevcut
ayrıştırıcı yeterli olacaktır. Bununla birlikte, olmadığı durumlar bulursanız, lütfen ayrıntıları gönderin
rssh posta listesine. Posta listesine nasıl gönderi yapılacağına ilişkin ayrıntılar şu adreste bulunabilir:
rssh ana sayfası.
OpenSSH sürümler ve atlama RSSH
OpenSSH 3.5'ten önce, sshd(8) genellikle kullanıcının evindeki dosyaları ayrıştırmaya çalışır
dizini ve ayrıca kullanıcının dizininden bir başlangıç komut dosyası çalıştırmayı deneyebilir. $HOME/.ssh dizin.
RSSH kullanıcının ortamından hiçbir şekilde yararlanmaz. İlgili komut
arayarak yürütüldü yürütme(3) derlemede belirtildiği gibi komutun tam yolu ile
zaman. Kullanıcının PATH değişkenine veya başka bir ortama bağlı değildir.
değişkeni.
Bununla birlikte, ortaya çıkabilecek birkaç sorun vardır. Bunun nedeni tamamen
OpenSSH Projesi'nin sshd'si çalışıyor ve hiçbir şekilde RSSH. Örneğin, bir
var olabilecek sorun şu ki, sshd(8) en azından bazılarından kılavuz sayfası
OpenSSH sürümleri, listelenen komutlar $HOME/.ssh/rc dosya ile yürütülür
/ Bin / sh kullanıcının tanımlı kabuğu yerine. üzerinde durum böyle değil gibi görünüyor
yazarın üzerinde test edebileceği sistemler; komutlar, kullanıcının
yapılandırılmış kabuk (RSSH), yürütmeye izin vermedi. Ancak sizin için doğruysa
sistemi, o zaman kötü niyetli bir kullanıcı atlatabilir RSSH bir dosya yükleyerek
$HOME/.ssh/rc tarafından yürütülecek / Bin / sh o sistemde. Herhangi bir yayın varsa (
OpenSSH) aslında bu soruna karşı savunmasızdır, o zaman büyük olasılıkla öyledirler.
yalnızca eski, modası geçmiş sürümler. OpenSSH'nin yeni bir sürümünü çalıştırdığınız sürece, bu
anladığım kadarıyla sorun olmamalı.
eğer sshd'niz is bu saldırıya karşı savunmasız olsa da, bu sorun için bir geçici çözüm var
oldukça kısıtlayıcıdır. The kullanıcının Anasayfa rehber kesinlikle , eğer mülteci statüleri sona erdirilmemişse Amerika'ya geldikten bir yıl sonra değil be yazılabilir by
the kullanıcı. Öyleyse, kullanıcı dizini kaldırmak veya yeniden adlandırmak için sftp'yi kullanabilir ve ardından
yeni bir tane oluşturun ve istedikleri ortam dosyalarıyla doldurun. Sağlamak için
dosya yüklemeleri, bu, onlar için kullanıcı tarafından yazılabilir bir dizin oluşturulması gerektiği anlamına gelir ve
bunun dışında ana dizinlerine yazamadıkları konusunda bilgilendirilmelidir.
yer.
İkinci bir sorun, kullanıcının kimliğini doğruladıktan sonra sshd'nin de okumasıdır.
$HOME/.ssh/ortam kullanıcının ortamlarında değişkenler ayarlamasına izin vermek için. Bu
kullanıcının tamamen atlatmasına izin verir RSSH böyle bir ortamın akıllıca manipüle edilmesiyle
gibi değişkenler LD_LIBRARY_PATH or LD_PRELOAD rssh ikili dosyasını keyfi olarak bağlamak için
paylaşılan kütüphaneler Bunun bir sorun olmasını önlemek için, 0.9.3 sürümünden itibaren,
varsayılan RSSH şimdi statik olarak derleniyor. Yukarıda bahsedilen kısıtlayıcı geçici çözüm,
bu tür saldırıları da yen.
OpenSSH 3.5'ten itibaren, sshd şimdi seçeneği destekliyor İzinKullanıcıOrtamı "hayır" olarak ayarlanmış
varsayılan olarak. Bu seçenek, aşağıdaki gibi kısıtlı mermilere izin verir: RSSH olmadan düzgün çalışması için
statik olarak bağlanmalarını gerektirir. itibariyle RSSH sürüm 1.0.1, yapılandırma komut dosyası
OpenSSH 3.5'in mevcut olduğunu algılamalı ve statik derlemenin varsayılanını devre dışı bırakmalıdır.
onworks.net hizmetlerini kullanarak çevrimiçi rssh kullanın
