Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Nudou jsi opuch?
Navštiv Lopuch!

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Archiv klubu Linux pro začátečníky [ŽP: neomezená] (kategorie Počítače - V ODPADU) moderuje Šéf Lopuchu.

Tento klub bude v brzke dobe zazalohovan a smazan. Presouvame se do Linuxu. Diky.
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help

Nemáte právo psát do tohoto klubu. Práva vám může přidělit moderátor klubu. Požádejte ho v soukromé poště.

[ 918 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
al3x 4.4.2005 15:53  2328
A s tim sftp jsem hned o neco chytrejsi.. :)
al3x 4.4.2005 15:51  2327
themajkl 2325Kdyz adresari nenastavis ani exec pravo, tak do nej muze vstupovat. Nezda se mi tak nelogicky, ze kdyz mu zakazes udelat "cd /home", tak nemuze ani "cd /home/pepa" presto, ze k /home/pepa ma rwx
themajkl themajkl All those moments will be lost in time - like tears in rain. 4.4.2005 15:46  2326
AL3XSFTP je část, co se dá zakázat, tam problém není. SCP je SSH s nějakými speciálními parametry a tam problém je.
themajkl themajkl All those moments will be lost in time - like tears in rain. 4.4.2005 15:45  2325
AL3XNo klidně ať tam nevidí nic, jenže když na /home nastavím třeba 750, tak už si uživatel neškrtne ani u sebe v adresáři.. při 751 je to lepší.. divné.
al3x 4.4.2005 15:42  2324
2318Aha. Jestli je sftp _cast_ ssh se kterou se pocitalo uz pripsani ssh protokolu, tak pak jo. Ja si myslel, ze sftp se proste pripoji na beznej ucet a predstira klasickou session - tzn. vola na shellu podobny prikazy jako kdyz se v nem pohybuje normalni user a shell sam ten rozdil nepozna. (Predstavoval jsem si to zjednodusene tak, ze spravnym volanim ls, echo, cd, rm, cat lze napodobit FTP funkcionalitu za pomoci SSH a shellu.) Ale koukam, ze to tak neni.. Proto jsem uvadel, ze jde o "lama dotaz" :)
al3x 4.4.2005 15:37  2323
themajkl 2322Asi ne. Je to jako dat prava na cteni jen pro cast souboru. Teda aspon ja si myslim, ze to takhle nejde :|
themajkl themajkl All those moments will be lost in time - like tears in rain. 4.4.2005 15:04  2322
práva na adresářiLze nějak vnutit adresáři (třeba /home), aby uživatel normálně fungoval, ale aby viděl v /home jen svůj $HOME? Tj. uziv KDOSI:
>ls /home
/home/KDOSI
>
themajkl themajkl All those moments will be lost in time - like tears in rain. 4.4.2005 15:02  2321
tvxRozhodne podle čeho? Pokud bych byl schopen rozlišit třeba v .profile, jestli jsem v relaci "ssh" nebo "scp", je to v pohodě. Míst, kde uživatele při scp vykopnout, mám na výber :-) Ale jak to poznat?
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 4.4.2005 14:59  2320
themajklco si napsat svuj shell ? takovej wrapper co jenom rozhodne kdo jo a kdo ne a bud to preda opravdovymu shellu a nebo ne...?
themajkl themajkl All those moments will be lost in time - like tears in rain. 4.4.2005 14:51  2319
AL3XJeště jinak, IHMO telnet prostě spustí program "login" po etherenetu, kdežto ssh si dělá způsob autentifikace a následné akce na své triko. Ale zatím jsem to podrobně nezkoumal, takže je to jen moje domněnka.
themajkl themajkl All those moments will be lost in time - like tears in rain. 4.4.2005 14:48  2318
AL3XSFTP je část SSH (a SFTP mám momentálně zakázáno). Telnet žádný ekvivalent sftp/scp nemá, dají se použít prostředky typu rcp, ale to je jiná služba, kterou máme samozřejmě povolenu jen mezi našimi servery navzájem.
Samozřejmě nevylučuju, že mne něco nenapadlo, takže pokud máš na mysli konkrétní příklad, jak by to mohlo jít, sem s ním, budu jen rád.
al3x 4.4.2005 14:36  2317
themajklTed se zeptam asi jako uplna lama, ale pokud se da sftp apod. vybudovat nad sifrovanym terminalem (bez jakekoliv spoluprace serveru, jen na zaklade shellu), tak to pujde i nad nesifrovanym, ne?

Takze jestli ses si jistej, ze nikam za aplikaci se nikdo dostat nemuze, tak tam nepujde prohlizet fs ani pres ssh, ani pres telnet. Pokud ale mas podezreni, ze pres ssh by si fs nekdo prohlizet mohl, proc by mu to nemelo jit i pres telnet?
themajkl themajkl All those moments will be lost in time - like tears in rain. 4.4.2005 14:24  2316
AL3XTa aplikace je velmi obšírná (je to několik desítek spustitelných -a provázaných- programů a skriptů) a nikdy s ničím podobným nepočítala. Neodvažuju se ani pomýšlet na chroot. Chtěl jsem přecházet z telnetu (pro běžné uživatele) na ssh, ale začínám to vidět dost nereálně (nehledě na to, že naše staré servery šifrování znatelně zatěžuje).
PS: nic o nebezpečnosti telnetu mi nevykládejte, vím to. Jenže IS se začal budovat v éře terminálů a naše staré terminálové servery SSH neuměly, neumějí a umět nebudou, chtěl jsem přejít na ssh aspoň tam, kde by to šlo. Jenže to radši budu mít telnet, než neumět zakázat čumět do FS - na to, že do něj uživatelé nevidí, se taky hodně spoléhá.
al3x 4.4.2005 14:15  2315
themajklTak nejak bych predpokladal (mozna naivne?), ze si ten sftp klient overi, kam se dostal a jestli to, co ma pod rukama na serveru, je beznej shell, nebo nejaka aplikacka. Treba nejakym zakladim prikazem (treba zkusi "ls .")?

Pokud ta aplikace nesaha nekam hluboko do systemu, tak bych pred ni stejne zavolal nejakej ten chroot.
themajkl themajkl All those moments will be lost in time - like tears in rain. 4.4.2005 14:10  2314
BTWPokud winscp/fish/cokoliv předpokládá, že jede nad shellem a posílá mů nějaké příkazy, tak bůhví, jak si to interpretuje případně spuštěná aplikace, protože sled kláves typu "g e t / etc / p a s s w d" v ní může taky vyvolat nějakou neřízenou akci.. brrr...
Kruci, líbí se mi to pořád míň :-(
[ 918 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt