Selinux + Chroot Shh W Fc3

[spider3333]

Witam

 

Potrzebuję "chroot"-ować userów po zdalnym zalogowaniu (najlepiej po sprawdzeniu przynależności do odpowiedniej grupy).

Istniejące patche niestety nie działają z SELinuxem, choć bez problemu kompilują się i instalują.

Czy ktoś zna gotowe rozwiązania ? (poproszę linki)

[mynus]

a jak to sie ma do wydawania polecen? przeciez polecenia takie jak, ls, more, i wszystkie inne sa poza katalogiem usera?

[spider3333]

Chodzi o to aby stworzyć taką klatkę w której user ma tylko to co jest niezbędne.

Oczywiście do tak przygotowanej klateczki wkopiowuje się te rzeczy o których wspominałeś. Zatem struktura katalogów wygląda mniej więcej tak:

 

\

|->etc

|->bin

....

|->chroot->katalog-domowy-usera

|->chroot->katalog-domowy-usera->etc

|->chroot->katalog-domowy-usera->bin

....

(niestety, ale mechanizm wycina spacje, więc tak to przedstawiam)

 

Zatem po zalogowaniu się danego usera, widzi on tylko i wyłącznie swój katalog domowy i teoretycznie (o ile nie wyrwie się z klatki) nie jest w stanie zobaczyć np. konfiguracji apache'a, itp.

[gajownik]

Zatem po zalogowaniu się danego usera, widzi on tylko i wyłącznie swój katalog domowy i teoretycznie (o ile nie wyrwie się z klatki) nie jest w stanie zobaczyć np. konfiguracji apache'a, itp.

Z tego artykułu → http://www.redhat.com/magazine/001nov04/fe...atures/selinux/ wynika, że przy użyciu SELinux można coś takiego uzyskać :/ (jak to zrobić to nie wiem jednak )

 

Odnośnie tych patchy, to sprawdź czy masz zainstalowane w systemie libselinux-devel.

 

Potem, po próbie zalogowania użytkownika, wpisz dmesg | grep avc i zobacz co jest blokowane. Być może trzeba poprawić zasady bezpieczeństwa. Jakbyś miał z tym problemy to najlepiej zapytać się na fedora-selinux-list.