Kuinka käyttää rajoitettua kuoroa rajoittaa Linux-käyttäjä voi tehdä

Rajoitettu kuori rajoja mitä käyttäjätili voi tehdä Linux. Rajoitettu käyttäjä voi muuttaa niiden hakemistoon, ja ohjaat mitkä komennot heillä on pääsy. Näin Rajoitetun kuori Linux.

rajoitettu säiliöt

Rajoitetulla kuori ei ole erilainen kuori. Se on erilainen tila vakio kuori . The Lyödä , korn , Kalastaa Ja muita kuoria voidaan kaikki alkoi rajoitetulla kuori tilassa. Käytämme Bash tässä artikkelissa, mutta samoja periaatteita sovelletaan muita kuoria.

Koska rajoitetut kuoret ovat vain yksi tapa käyttää tavallisesta kuori, ne on helppo asentaa. Ei ole mitään asentaa, ja ne ovat käytettävissä missä Linux on.

Rajoitettu kuoret voidaan soveltaa skriptejä, liian. Joka varmistaa, että mitään vahinkoa ne voivat aiheuttaa, jos he ovat kirjoitettu väärin rajoittuu rajojen rajoitusvyöhykkeistään maailmassa ja että heillä ei ole pääsyä koko tietokoneen.

Oltava tietoisia kuitenkin, että se rajoitti kuoret eivät ole täysin paeta-proof. Joku riittävästi tietoa voi paeta rajoitettu kuori. Ne ovat erinomaisia ​​laskemisesta turvallisen rajojen on satunnainen käyttäjä, mutta eivät ole riippuvaisia ​​rajoitu kuorista tahansa reaalimaailman turvallisuuden tuotantojärjestelmä.

Liittyvät: Mitä eroa on Bash, Zsh ja muiden Linux kuoret?

rajoitetut Bash

Kun käytät Bash rajoitettuna kuori, käyttäjä on joitakin tuotteita otetaan pois. Erityisesti, käyttäjä ei voi :

• Käyttää CD Muuta työhakemistossa.
• Muuta arvot $ Polku , $ SHELL , $ BASH_ENV tai $ ENV ympäristömuuttujiin (mutta he voivat lukea nykyiset arvot).
• Lue tai muutos $ SHELLOPTS shell ympäristön vaihtoehtoja.
• Ohjata tuotos komennon.
• Invoke komentoja, jotka vaativat polku paikallistaa ne. Eli et voi antaa komentoa, jolla on yksi tai useampi vinoviivoja ” / " sen sisällä.
• Vedota Exec korvata eri menetelmää kuori.
• Käytä jotakin rajoitettu ominaisuuksia käsikirjoituksen.

Voit kutsua rajoitettu Bash kuori käyttämällä -r (Rajoitettu) vaihtoehto. Yritetään tehdä yksinkertainen tehtävä kuten muuttuvat työhakemistossa on kielletty. Terse sanoma kertoo CD on rajoitettu.

 lyödä r 

 cd Documents 

Bash kuori voi myös havaita, kun se on sovellettu käyttämällä ”rbash” eikä ”bash.” Tämä aiheuttaa sen aloittaa rajoitetun kuori, too. Tämä on kätevä tapa asettaa oletuksena kuori tietylle käyttäjälle, joka käytämme pian.

Jos käytämme missä on komento Ubuntu etsiä rbash tiedostoja, näemme, että suoritettavissa on ”usr / bin” hakemistoon. Mies sivu on ”/ usr / share / man / man1” hakemistoon.

Käyttämällä ls komennon -l (Pitkä) mahdollisuus osoittaa, että rbash On todella symbolinen linkki jllek lyödä .

 whereis rbash 

 ls-l / usr / bin / rbash 

Käytössä Manjaro ja Fedora, The rbash symbolinen linkki oli luotava. Tämä toimii sekä jakaumat:

 whereis rbash 

 sudo ln -s / bin / bash / bin / rbash 

 whereis rbash 

Toisen kerran käytämme missä on komento, se toteaa rbash in ”/ usr / bin” hakemistoon.

Rajoittaminen Käyttäjän

Katsotaanpa Luo uusi käyttäjätili nimeltään ”Minnie.” Me asettaa kuori olemaan rajoitettua kuoren avulla -s (Shell) valinnan mukaan useradd komento. Me myös Aseta tilin salasana käyttämällä passwd komento ja luomme kotikansion heille.

The -p (Vanhemmat) lippu mkdir Komento kertoo mkdir Luodaan kohde-hakemisto ja kaikki vanhemmat hakemistot, joita sen tarvitsee luoda. Joten luomalla "/ Home / Minnie / Bin" -hakemisto, luomme samanaikaisesti "/ Home / Minnie" -hakemiston.

 sudo useradd minnie -s / bin / rbash 

 sudo passwd minnie 

 sudo mkdir -p / home / minnie / bin 

Kun Minnie logs sisään, hän toimii rajoitetussa kuoressa.

 CD 

Hän ei voi vedota komentoja, jotka tarvitsevat sisällyttää eteenpäin viiva " / ":

 / USR / BIN / PING 

Hän voi kuitenkin silti suorittaa käskyjä, jotka löytyvät polusta.

 Ping 

Se ei ole käyttäytyminen, jonka olet ehkä odottanut, eikä se varmasti ole mitä haluamme. Kiristä rajoitukset edelleen, meidän on muutettava polku, jonka Minnien kuori käyttää etsimään komentoja.

Rehujen kiristäminen

Kun luotiin Minnie's Home Directory "/ Home / Minnie", luotiin myös "/ Home / Minnie / Bin" -hakemiston. Täällä tämä hakemisto tulee pelaamaan.

Aiomme muokata Minnie's ".bash_profile" -tiedostoa ja asetamme hänen polun vain kyseiseen hakemistoon. Rajoitamme myös Minnien ".bash_profile" -tiedostoa niin, että vain juuret voivat muokata sitä. Tämä tarkoittaa sitä, että mikään muu käyttäjä voi muokata kyseistä tiedostoa ja muuttaa polkua.

 sudo gedit /home/minnie/.bash_profile

Muokkaa olemassa olevaa "polkua =" tai lisää seuraava rivi:

 PATH = $ HOME / BIN 

Tallenna tiedosto. Hyvin Muuta tiedoston omistaja Root käyttämällä karja komento ja Muuta tiedostojen käyttöoikeuksia käyttämällä chmod komento. Vain juurikäyttäjä voi muokata tiedostoa.

 sudo chown root: root /home/minnie/.bash_profile

 sudo chmod 755 /Home/minnie/.bash_profile

 LS -l /home/miinnie/.bash_profile

Seuraavan kerran käyttäjä Minnie logs sisään, hänen polkupisteensä yhdelle kansiolle.

Rajoitettu käyttäjä Minnie voi käyttää vain bash sisäänrakennettuja komentoja kaiku , alias ja kirjautua ulos . Hän ei voi edes käyttää ls !

 LS 

Meidän täytyy löystyä kuristimme vähän, jos haluamme, että he voivat tehdä mitään hyödyllistä lainkaan. Luomme joitain symbolisia linkkejä Minnien "bin" hakemistosta komennoille, joita haluamme Minnie voi käyttää.

 sudo ln -s / bin / ls / home / minnie / bin 

 sudo ln -s / bin / top / home / minnie / bin 

 Sudo LN -S / BIN / UPTIME / HOME / MINNIE / BIN 

 sudo ln -s / bin / pinky / home / minnie / bin 

Kun Minnie Seuraavaksi lokit, hän huomaa, että hän voi käyttää bash sisäänrakennettuja komentoja sekä ne komennot, jotka on liitetty.

 LS 

 Pinky Dave 

 Uptime 

Olemassa olevien käyttäjien rajoittaminen

Luomme Minnie uudeksi käyttäjäksi. Jllek muuttaa olemassa olevan kuoren Käyttäjä, voimme käyttää -s (Shell) Vaihtoehto usermod komento.

 sudo usermod -s / bin / rbash mary 

Voit käyttää Vähemmän Komento "/ etc / passwd" -tiedostosta nopeasti nähdä, mitä kuori asetetaan käyttäjän oletuskuoriksi.

 Vähemmän / etc / passwd 

Voimme nähdä, että käyttäjä Maria käyttää rajoitettua kuoroa, kun hän seuraa seuraavasti.

Muista soveltaa muita muutoksia rajoittaa niiden $ Polku Ympäristömuuttuja ja asettaa komennot haluat, että käyttäjä Mary pystyy suorittamaan.

Skriptien rajoittaminen

Säännöllinen, rajoittamaton käyttäjä voi käynnistää skriptit, jotka suoritetaan rajoitetussa kuoressa. Kopioi seuraavat rivit ja liitä ne editoriksi. Tallenna tiedosto "rajoitettuna.sh" ja sulje editori.

 #! / Bin / Bash

# Script alkaa normaalissa bash-kuoressa
echo "## rajoittamattomalla tilassa! ##"

kaiku
ECHO "Nykyinen hakemisto:` pwd` "
ECHO "Vaihto hakemisto"
CD / USR / Share
ECHO "nyt hakemistoon:" PWD ""
ECHO "Muuttuminen kotihakemistoon"
CD ~
ECHO "nyt hakemistoon:" PWD ""

# Aseta rajoitettu tila
set -r

kaiku
echo "## rajoitetussa tilassa! ##"

kaiku
ECHO "Nykyinen hakemisto:` pwd` "
ECHO "Vaihto hakemisto / koti /"
CD / koti
Echo "Silti hakemistossa:" PWD ""

kaiku
ECHO "yrittää aloittaa toisen kuoren"
/ bin / bash

kaiku
ECHO "yrittää ohjata komento lähtö"
LS -L $ Koti & GT; my_files.txt
Cat my_files.txt
kaiku

Poistu 0 

Meidän on käytettävä chmod komento + X (Suorita) lippu, jotta komentosarja suoritetaan.

 chmod + x restricted.sh 

Skriptin ensimmäinen osa toimii normaalissa kuoressa.

 ./ restricted.sh 

Toisen osan script-bitin jälkeen ”sarja -r” linja-kulkee rajoitetun kuori.

Mikään yrittänyt toimia onnistuvat rajoitettu osaan käsikirjoituksen.

Koko käsikirjoitus voidaan ajaa rajoitetulla kuori lisäämällä -r ensimmäinen rivi:

! # / Bin / bash -r 

Muista Houdini

Rajoitettu kuoret ovat hyödyllisiä, mutta ei täysin erehtymätön. Riittävän taitava käyttäjä voi paeta niistä. Mutta kun sitä käytetään järkevästi, ne ovat hyödyllinen tapa vahvistaa joukko rajoituksia tietylle tilille.