Quote:
Originariamente inviato da LimiT-MaTz
mi viene in mente questa cosa:
tu dici di lasciare un user "A" allowed(per ssh) che non appartenga al gruppo wheel che accetti connessioni dalla "rete esterna" e una volta connessi aprire ssh verso l'utente "B" (che ha accesso solo da localhost) su cui effettuale un bel "su".
|
si... ma questa soluzione puo' funzionare solo per alcuni casi particolari.. il piu' delle volte aggiungere un utente al sistema vuol dire aumentare i rischi...
Quote:
Originariamente inviato da LimiT-MaTz
A questo punto mi viene in mente poiche' l'utente A e' quello + accessibile dall'esterno perche non eliminari tutti quegli applicativi che non servono(naturalmente nel momento in cui pensiamo di avere un utente che svolga solo questo lavoro)e lasciare solo ssh (per connettersi a "B") ad esempio mi verrebbe in mente di fare degli appicativi "dummy" che lancino /bin/false.
ad esempio nel momento in cui l'utente a scrive ls (in realtā esegue /bin/false).
Cosi' facendo non si incrementerebbe maggiormente la sicurezza? o sarebbe solo una perdita di tempo?
|
diciamo che qualcosa del genere si ottiene facendo girare l'ssh in un gabbia (il cosidetto chroot) quindi l'utente A si connette al server e da questo punto puo' lanciare solo il comando ssh (l'unico comando che si va a mettere nel chroot.. insieme ad una bash e poco altro) anche se per qualche motivo riesce a ottenere i privilegi da root, in teoria, rimane confinato nella gabbia (dove, sempre in teoria, puo' fare danni limitati)...
Quote:
Originariamente inviato da LimiT-MaTz
spero di essermi spiegato
l'ho riletto 3 volte e ogni volta che lo modifico il mio itaGliano peggiora...
meglio andare a letto ...
|
spero di aver risposto! e non ti preoccupare... per l'itaGliano sei in compagnia (sicuramente la mia!)!