RSS

Iron Bars Shell (ibsh) – restrykcyjna powłoka

03 Lu

Iron Bars Shell - restricted system shell for Linux/Unix. Jest to projekt restrykcyjnej powłoki, nazywanej w skrócie ibsh. Jest ona tworzona z myślą o bezpieczeństwie. Jedną z głównych idei projektu jest zakazanie wszystkich operacji, które nie zostały jawnie określone jako dozwolone. Powłoka oferuje też kilka ciekawych funkcji, jak kontrola parametrów wykonywanych poleceń, logowanie poczynań użytkownika do sysloga czy też blokowanie dostępu do plików, których rozszerzenie nie znajduje się na liście dozwolonych rozszerzeń utworzonej przez administratora (ustawienie blokady na pliki *.c, zapobiegnie kompilacji potencjalnie szkodliwych źródeł C itp.). W ten sposób zyskujemy dużo większą kontrolę nad poczynaniami żytkownika.

Cytat z hakin9

Ściągamy instalkę : http://sourceforge.net/project/showfiles.php?group_id=134831&package_id=148389&release_id=414350

Instalacja :

sudo dpkg -i debian_ibsh.deb
sudo apt-get install build-essential
sudo apt-get -f install

Jeżeli wszystko przebiegło dobrze to pozostało nam dodać /bin/ibsh do spisu aktywnych powłok :

sudo joe /etc/shells

i dodajemy wpis :

/bin/ibsh

Instalacja kończy się w tym miejscu. Pozostało tylko ustawić konta użytkowników żeby korzystali z tej powłoki, w tym celu edytujemy plik /etc/passwd :

sudo joe /etc/passwd

i na końcu linii z danym użytkownikiem dodajemy /bin/ibsh zamiast /bin/bash, np:

kde4:x:1001:1002::/home/kde4:/bin/ibsh

Standardowo ibsh jest BARDZO RESTRYKCYJNIE ustawione, możliwe są do wykonania tylko następujące komendy : cd, pwd, logout, exit. Aby to zmienić edytujemy plik z dozwolonymi komendami :

sudo joe /etc/ibsh/globals.cmds

i dodajemy komendy które będą mogli używać użytkownicy, np:

# Add any commands the user may execute. Even shell commands.
# You have to allow logout and/or exit, so the user can logout!
# cd and pwd should also be allowed. Note: other shell builtin
# commands are not yet implemented!
cd
pwd
ls
echo
logout
exit

IBSH w działaniu :

szef@szef:~$ su - kde4
Hasło:
[/]% ps aux
Sorry, can't let you do that!
[/]% ls
Sorry, can't let you do that!
[/]% ping
Sorry, can't let you do that!
[/]% exit
szef@szef:~$ su - kde4
Hasło:
[/]% ls
Desktop film kde4-1.png kde4-3.png
[/]% ps aux
Sorry, can't let you do that!
[/]% echo test
[/]% exit
szef@szef:~$ su - kde4
Hasło:
[/]% /bin/bash
Sorry, can't let you do that!
[/]%

 
1 Komentarz

Opublikował/a w dniu 3 lutego, 2008 w Linux

 

Tagi: , , , ,

1 responses to “Iron Bars Shell (ibsh) – restrykcyjna powłoka

  1. Pingback: Restrykcyjna powłoka cz. 2 – rbash « Lazowski’s Weblog

Dodaj komentarz