Torna indietro   Hardware Upgrade Forum > Software > Linux, Unix, OS alternativi
Ricarica la Pagina [HELP] Lock d 1 Ssh-user nella sua home : come ?

Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con Android 15 e penna, dal prezzo super
Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con Android 15 e penna, dal prezzo super
Arrivato sul mercato italiano a fine marzo, la serie Boox Go 10.3 (Gen II) offre Android 15, penna da 4096 livelli e retroilluminazione opzionale (nel modello da noi provato, Lumi, presente). La serie si compone di due tablet ePaper che fanno da e-reader, blocco note digitale e persino browser, tutto a un prezzo che fa dimenticare i prodotti di brand più blasonati
Gigabyte MO32U24 OLED: il 4K a 240Hz su un pannello OLED ideale per il gaming
Gigabyte MO32U24 OLED: il 4K a 240Hz su un pannello OLED ideale per il gaming
Pannello QD-OLED da 32 pollici con risoluzione 4K, frequenza di aggiornamento a 240Hz e tempi di risposta rapidissimi: il Gigabyte MO32U24 evolve il progetto del suo predecessore MO32U e alza ulteriormente l'asticella delle prestazioni. È ancora una volta un monitor indirizzato ai giocatori più esigenti
Recensione realme 16 5G: lo smartphone con Selfie Mirror ha una batteria da 6550mAh
Recensione realme 16 5G: lo smartphone con Selfie Mirror ha una batteria da 6550mAh
realme 16 5G è un nuovo smartphone con sensore Sony IMX 852 da 50MP sul retro e uno specchio selfie fisico integrato nella camera bar, una prima nel segmento di mercato. Batteria da 6550mAh in un corpo da 8,1mm e 183g, certificazione IP69K e ricarica da 45W completano un pacchetto aggressivo per la fascia media, per uno dei prodotti più interessanti del produttore sul piano commerciale
Batterie liquide senza metalli: scoperto nuovo polimero ispirato alle cellule
FRITZ!, devolo, LANCOM e TDT danno vita a SAFENet, un'alleanza per rafforzare la sovranità digitale europea
Quanto tempo passiamo online? In Italia meno di prima, ma l'AI diventa una costante. Lo studio di NordVPN
Fox Corporation si compra Roku per 22 miliardi di dollari: nasce il terzo polo della TV americana
AMD resuscita Zen+: due nuovi processori basati sull'architettura di 7 anni fa
Debutto cinematografico per HONOR Robot Phone al 28° Shanghai International Film Festival
Copilot+ PC, ogni PC con una GPU dedicata ne farà parte, anche senza una NPU dedicata
Dreame taglia i prezzi: come orientarsi fra i 5 migliori robot e lavapavimenti adesso in sconto
L'Italia entra nell'era dei 2 nanometri! Fondazione Chips-IT firma un accordo strategico con il Giappone
Stranger Than Heaven rivoluziona il combat system di Yakuza con stamina e controlli sui grilletti
Honor X80 Pro Max: svelata la data di lancio del nuovo smartphone con batteria da record
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 10-12-2004, 21:43   #1
The X
Senior Member
 
L'Avatar di The X
 
Iscritto dal: Apr 2003
Città: Rimini
Messaggi: 3970
[HELP] Lock d 1 Ssh-user nella sua home : come ?
Come da topic, c'è 1 modo semplice d fare in modo che 1 user che logga via ssh (o meglio sftp) rimanga lockato nella sua home, come accade per l'FTP normale ?

Assegnandogli la shell "scponly" ho evitato ke esso possa accedere via console (ovvero può accedere solo via SFTP-Client); togliendo i diritti d lettura alla directory "home" ho evitato ke possa risalire e vedere la home...

Tutto questo, però, nn è molto efficace PERCHE' se 1 utente un minimo esperto digita un path specifico (es. /var/log/apache o /home/vpopmail/etc) potrà vedere quella directory e da lì anke tutte le altre...

Anke togliendo la lettura a tutte le directory principali dentro la / nn cambierebbe molto per l'esempio d sopra...

Qlc ha soluzioni ?

TNK
__________________
Powered by Apple Macbook Pro Retina
The X è offline   Rispondi citando il messaggio o parte di esso
Old 10-12-2004, 22:52   #2
e-Tip
Senior Member
 
Iscritto dal: Aug 2003
Città: /dev/zero
Messaggi: 666
chroot probabilmente fa quello che ti serve
__________________
Powered By Imac 27" , iPhone X and watch Series 5
Si sono un apple fan
e-Tip è offline   Rispondi citando il messaggio o parte di esso
Old 10-12-2004, 23:34   #3
The X
Senior Member
 
L'Avatar di The X
 
Iscritto dal: Apr 2003
Città: Rimini
Messaggi: 3970
Quote:
Originariamente inviato da e-Tip
chroot probabilmente fa quello che ti serve
azz.... solo col chroot ?

è 1 cosa impossibile da farsi....
__________________
Powered by Apple Macbook Pro Retina
The X è offline   Rispondi citando il messaggio o parte di esso
Old 11-12-2004, 00:46   #4
e-Tip
Senior Member
 
Iscritto dal: Aug 2003
Città: /dev/zero
Messaggi: 666
mmm ho solo dato una rapida occhiata al sito debian sezione securing e da quello che ho letto pare fattibile come cosa... poi non so se esistano altre soluzioni
__________________
Powered By Imac 27" , iPhone X and watch Series 5
Si sono un apple fan
e-Tip è offline   Rispondi citando il messaggio o parte di esso
Old 11-12-2004, 10:33   #5
The X
Senior Member
 
L'Avatar di The X
 
Iscritto dal: Apr 2003
Città: Rimini
Messaggi: 3970
Quote:
Originariamente inviato da e-Tip
mmm ho solo dato una rapida occhiata al sito debian sezione securing e da quello che ho letto pare fattibile come cosa... poi non so se esistano altre soluzioni
C ho dato 1 occhiata MA li dentro parlano d chroot d tutto il servizio SSH (ed è un poco complicato...); a me basterebbe fare il chroot del solo sftp....
__________________
Powered by Apple Macbook Pro Retina
The X è offline   Rispondi citando il messaggio o parte di esso
Old 11-12-2004, 15:12   #6
ilsensine
Senior Member
 
L'Avatar di ilsensine
 
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
ssh è un metodo di login, come il login locale. Quindi un utente con accesso ssh, può fare tutto ciò che può fare un utente con accesso diretto.
Se vuoi impedire l'accesso a sezioni specifiche del file system, devi fare come faresti con un utente locale: gestione appropriate dei permessi e dei gruppi.

Anche chroot è una via praticabile, ma più drastica.
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al
andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12
ilsensine è offline   Rispondi citando il messaggio o parte di esso
Old 11-12-2004, 17:07   #7
The X
Senior Member
 
L'Avatar di The X
 
Iscritto dal: Apr 2003
Città: Rimini
Messaggi: 3970
Quote:
Originariamente inviato da ilsensine
ssh è un metodo di login, come il login locale. Quindi un utente con accesso ssh, può fare tutto ciò che può fare un utente con accesso diretto.
Se vuoi impedire l'accesso a sezioni specifiche del file system, devi fare come faresti con un utente locale: gestione appropriate dei permessi e dei gruppi.

Anche chroot è una via praticabile, ma più drastica.
Esatto... ma x restringere l'accesso via diritti VUOL dire mettere mano a TUTTI i diritti di TUTTE le directory del file system... Sinceramente la vedo molto ardua xkè le probabilità d fare qlc errore x cui si danno resistrizione troppo severe ke causano poi malfunzionamenti vari è molto elevata...

Da questo punto trovare il modo d fare un chroot x il SOLO SFTP sarebbe + semplice, credo...

TU ne sai qlc a riguardo ?
__________________
Powered by Apple Macbook Pro Retina
The X è offline   Rispondi citando il messaggio o parte di esso
Old 11-12-2004, 18:21   #8
Maestro
Senior Member
 
Iscritto dal: Jun 2002
Messaggi: 442
se ti interessa far loggare un utente solo per sftp, su freebsd c'e' la shell "scponlyc" da applicare all'utente in questione che permette di effettuare solo queste operazioni.

non so se esista l'equivalente su linux, questa cosa e' interessante e sto facendo delle ricerche a proposito.

eventualmente gli applichi una jail shell, con una directory con dentro i binari che servono (mv,cp,ls), su securing debian ci dovrebbe essere qualcosa in tal senso.


saluti
__________________
-
Maestro è offline   Rispondi citando il messaggio o parte di esso
Old 11-12-2004, 18:43   #9
The X
Senior Member
 
L'Avatar di The X
 
Iscritto dal: Apr 2003
Città: Rimini
Messaggi: 3970
Quote:
Originariamente inviato da Maestro
se ti interessa far loggare un utente solo per sftp, su freebsd c'e' la shell "scponlyc" da applicare all'utente in questione che permette di effettuare solo queste operazioni.

non so se esista l'equivalente su linux, questa cosa e' interessante e sto facendo delle ricerche a proposito.
Se leggi il mio post iniziale vedrai ke già ho applicato questa shell x gli utenti MA il problema rimane cmq nel senso ke gli utenti possono cmq andare in giro x il file system....

Quote:
Originariamente inviato da Maestro
eventualmente gli applichi una jail shell, con una directory con dentro i binari che servono (mv,cp,ls), su securing debian ci dovrebbe essere qualcosa in tal senso.
Ho seguito questa guida (http://www.brandonhutchinson.com/chroot_ssh.html) x fare appunto una jail shell MA provando a loggare via SFTP mi da "Error #4" e nn mi fa loggare....
__________________
Powered by Apple Macbook Pro Retina
The X è offline   Rispondi citando il messaggio o parte di esso
Old 11-12-2004, 19:42   #10
Maestro
Senior Member
 
Iscritto dal: Jun 2002
Messaggi: 442
prova ad applicare agli utenti una shell "chrootata":

http://tjw.org/chroot-login-HOWTO/

qui trovi una guida su come fare, in questo modo non si puo' uscire della propria home.
__________________
-
Maestro è offline   Rispondi citando il messaggio o parte di esso
Old 11-12-2004, 20:23   #11
ilsensine
Senior Member
 
L'Avatar di ilsensine
 
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
Quote:
Originariamente inviato da The X
Esatto... ma x restringere l'accesso via diritti VUOL dire mettere mano a TUTTI i diritti di TUTTE le directory del file system...
Prendere o lasciare. Il login tramite ssh implica l'esecuzione di un "interprete" shell (bash ad es.) come per qualsiasi login.
Se non ti va di giocare con i permessi, devi usare il chroot.
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al
andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12
ilsensine è offline   Rispondi citando il messaggio o parte di esso
Old 12-12-2004, 10:04   #12
The X
Senior Member
 
L'Avatar di The X
 
Iscritto dal: Apr 2003
Città: Rimini
Messaggi: 3970
Quote:
Originariamente inviato da Maestro
prova ad applicare agli utenti una shell "chrootata":

http://tjw.org/chroot-login-HOWTO/

qui trovi una guida su come fare, in questo modo non si puo' uscire della propria home.
Uhmm... ora ho capito qlc....

Visto ke io voglio dare l'accesso SOLO via SFTP e non via SSH devo trovare il modo d fare un chroot limitato in quanto il chroot generale è molto + complesso....
__________________
Powered by Apple Macbook Pro Retina
The X è offline   Rispondi citando il messaggio o parte di esso
 Rispondi

« Discussione precedente | Discussione successiva »

Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con Android 15 e penna, dal prezzo super Boox Go 10.3 (Gen II) Lumi: il tablet e-ink con ...
Gigabyte MO32U24 OLED: il 4K a 240Hz su un pannello OLED ideale per il gaming Gigabyte MO32U24 OLED: il 4K a 240Hz su un panne...
Recensione realme 16 5G: lo smartphone con Selfie Mirror ha una batteria da 6550mAh Recensione realme 16 5G: lo smartphone con Selfi...
Come rispettare tutte le nuove regole per i monopattini elettrici? La guida per non rischiare sanzioni Come rispettare tutte le nuove regole per i mono...
DLSS 4.5: con Dynamic Frame Generation e MFG 6X NVIDIA alza la posta DLSS 4.5: con Dynamic Frame Generation e MFG 6X ...
Batterie liquide senza metalli: scoperto...
FRITZ!, devolo, LANCOM e TDT danno vita ...
Quanto tempo passiamo online? In Italia ...
Fox Corporation si compra Roku per 22 mi...
AMD resuscita Zen+: due nuovi processori...
Debutto cinematografico per HONOR Robot ...
Copilot+ PC, ogni PC con una GPU dedicat...
Dreame taglia i prezzi: come orientarsi ...
L'Italia entra nell'era dei 2 nanometri!...
Stranger Than Heaven rivoluziona il comb...
Honor X80 Pro Max: svelata la data di la...
Chiuso finanziamento da 21 milioni: Orbi...
E-commerce in crescita in Italia: entro ...
Capcom non si ferma più: un Resid...
Volkswagen, Stellantis e Renault denunci...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 15:48.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v