(1) 加限制的shell(rsh)
该shell几乎与普通的shell相同,但是该shell的设计能限制一个用户的 能力,不允许用户有某些标准shell所允许的行为:
不能改变工作目录(cd).
不能改变PATH或SHELL shell变量.
不能使用含有"/"的命令名.
不能重定向输出(>和>>).
不能用exec执行程序.
用户在登录时,招待.profile文件后系统就强加上了这些限制,如果用户在.profile文件正被解释时按了BREAK键或DELETE键,该用户将被注销.
这些简单的限制,使用写受限制用户的.profile文件的系统管理员可以对用户能使用什么命令,进行完全的控制.
应当注意:系统V加限制的shell实际上不是很安全,在敌对的用户时不要 用.系统V版本2以后的版本中加限制的shell更安全些.但若允许受限制的用户 使用某些命令(如env,cp,ln),用户将能逃避加限制的shell,进入非限制的 shell.
(2) 用chroot()限制用户
如果的确想限制一个用户,可用chroot()子程序为用户建立一个完全隔离 的环境,改变了进程对根目录的概念,因此可用于将一个用户封在整个文件系 统的某一层目录结构中,使用户无法用cd命令转出该层目录结构,不能存取文 件系统中其余部分的任何文件.这种限制方式比加限制的shell好得多.用户使 用的命令应由系统管理员在新的root目录中建立一个bin目录,并建立用户可 用命令的链到系统的/bin目录中相应命令文件上(若在不同的文件系统则应拷 贝命令文件).
还应建立新的passwd文件,保留系统登录户头(为了使ls -l正确地报告与 受限制的子文件系统中的文件相关的正确登录名)和用户帐户,但系统帐户的 口令改为NOLOGIN以使受限制的用户不能取得系统登录的真实口令,使"破密" 程序的任何企图成为泡影.
utmp文件是who所需要的,该文件含有系统中已登录用户的列表. 新的/etc/profile文件也不是建链文件,以便受限制的用户可以执行不同的启动命令.
/dev目录中的终端设备文件被链接到新的/dev目录下,因为命令who产生输出时要查看这些文件.
在系统V及以后的UNIX版本中,login命令有chroot()的功能.如果口令文件中用户入口项的登录shell域(最后一个域)是*,login将调用chroot()把用户的根目录设置成为口令文件中用户入口项登录目录域指定的目录.然后再调 用exec()执行login,新的login将在新子系统文件中执行该用户的登录.
chroot()并不是把root封锁在一个子文件系统中,所以给受限制用户用的 命令时应加以考虑,具有root的SUID许可的程序可能会给予用户root的能力. 应当将这种可能减低到最小程度,交给用户使用的命令应当取自清除了SUID陷 井的系统命令.链接文件可减少磁盘占用区,但要记住,当与敌对用户打交道时 链接到chroot目录结构(尤其是命令)的系统文件是很危险的.
如果建立一个像这样的限制环境,应确保对安装到新的/bin的每条命令都 做过测试,有些程序可能有系统管理员未曾想到的出乎意料的执行结果.为了使这些命令能运行,还得在加限制的子文件系统中加服务目录或文件如:/tmp, /etc/termcap,/usr/lib/terminfo,/dev/mem,/dev/kmem,/dev/swap,用户所 登录的/dev中的tty文件以及/unix.
有些程序在子文件系统中运行时不会很好,如果将假脱机程序和网络命令拷贝到加限制的子文件系统中,并放在为两条命令专建的目录层结构下,它们可能也运行不了.
阅读(278) | 评论(0) | 转发(0) |
