Как использовать ограниченную оболочку, чтобы ограничить возможности пользователя Linux
Ограниченная оболочка ограничивает возможности учетной записи пользователя в Linux. Пользователь с ограниченным доступом не может изменить свой каталог, и вы контролируете, к каким командам он имеет доступ. Вот как настроить ограниченную оболочку в Linux.
Ограниченные оболочки
Ограниченная оболочка — это не другая оболочка. Это другой режим стандартной оболочки. Bash, Korn, Fish и другие оболочки можно запускать в ограниченном режиме оболочки. В этой статье мы будем использовать Bash, но те же принципы применимы и к другим оболочкам.
Поскольку ограниченные оболочки — это просто еще один способ использования вашей стандартной оболочки, их легко настроить. Нечего устанавливать, и они доступны везде, где есть Linux.
Ограниченные оболочки также могут применяться к сценариям. Это гарантирует, что любой ущерб, который они могут нанести, если они были написаны неправильно, ограничен пределами их ограниченного мира и что они не имеют доступа ко всему вашему компьютеру.
Имейте в виду, однако, что ограниченные оболочки не являются полностью защищенными от побега. Кто-то с достаточными знаниями может избежать ограниченной оболочки. Они отлично подходят для установления безопасных границ для случайного пользователя, но не полагайтесь на ограниченные оболочки для какой-либо реальной безопасности в производственной системе.
Баш с ограниченным доступом
Когда вы запускаете Bash как ограниченную оболочку, у пользователя удаляются некоторые возможности. В частности, пользователь не может:
- Используйте
cd, чтобы изменить рабочий каталог. - Измените значения переменных окружения
PATH,$SHELL,$BASH_ENVили$ENV( но они могут читать текущие значения). - Прочитайте или измените параметры окружения оболочки
$SHELLOPTS. - Перенаправить вывод команды.
- Вызывать команды, которым требуется путь для их поиска. То есть вы не можете выполнить команду, содержащую одну или несколько косых черт «
/». - Вызовите
exec, чтобы заменить оболочку другим процессом. - Использовать в скрипте любые функции с ограниченным доступом.
Вы можете вызвать ограниченную оболочку Bash, используя параметр -r (restricted). Попытка выполнить простую задачу, например изменение рабочего каталога, запрещена. Краткое сообщение сообщает вам, что использование cd ограничено.
bash -r
cd Documents
Оболочка Bash также может определять, когда она вызывается с использованием «rbash» вместо «bash». Это приводит к тому, что он также запускается как ограниченная оболочка. Это удобный способ установить оболочку по умолчанию для конкретного пользователя, которой мы скоро воспользуемся.
Если мы используем команду whereis в Ubuntu для поиска файлов rbash, мы увидим, что исполняемый файл находится в каталоге «usr/bin». Страница руководства находится в каталоге «/usr/share/man/man1».
Использование команды ls с параметром -l (long) показывает, что rbash на самом деле является символической ссылкой на bash. .
whereis rbash
ls -l /usr/bin/rbash
В Manjaro и Fedora необходимо было создать символическую ссылку rbash. Это работает на обоих дистрибутивах:
whereis rbash
sudo ln -s /bin/bash /bin/rbash
whereis rbash
Во второй раз, когда мы используем команду whereis, она находит rbash в каталоге «/usr/bin».
Ограничение пользователя
Давайте создадим новую учетную запись пользователя с именем Минни. Мы установим их оболочку как оболочку с ограниченным доступом, используя параметр -s (оболочка) команды useradd. Мы также установим пароль аккаунта с помощью команды passwd и создадим для него домашнюю папку.
Флаг -p (parents) в команде mkdir указывает mkdir создать целевой каталог и любые родительские каталоги, которые ему необходимо создать. . Таким образом, создавая каталог «/home/minnie/bin», мы одновременно создаем каталог «/home/minnie».
sudo useradd minnie -s /bin/rbash
sudo passwd minnie
sudo mkdir -p /home/minnie/bin
Когда Минни войдет в систему, она будет работать в ограниченной оболочке.
cd
Она не может вызывать команды, которые должны включать косую черту «/»:
/usr/bin/ping
Однако она по-прежнему может выполнять команды, найденные в пути.
ping
Это не то поведение, которое вы могли ожидать, и это определенно не то, что нам нужно. Чтобы еще больше ужесточить ограничения, нам нужно изменить путь, который оболочка минни будет использовать для поиска команд.
ужесточение ограничений
Когда мы создали домашний каталог Минни «/home/minnie», мы также создали каталог «/home/minnie/bin». Вот где этот каталог вступает в игру.
Мы собираемся отредактировать файл «.bash_profile» Минни и установить ее путь так, чтобы он указывал только на этот каталог. Мы также ограничим файл «.bash_profile» Минни, чтобы его мог редактировать только root. Это означает, что ни один другой пользователь не может редактировать этот файл и изменять его путь.
sudo gedit /home/minnie/.bash_profile
Либо отредактируйте существующий «PATH=», либо добавьте следующую строку:
PATH=$HOME/bin
Сохраните файл. Мы изменим владельца файла на root с помощью команды chown и изменим права доступа к файлу с помощью команды chmod . Только пользователь root сможет редактировать файл.
sudo chown root:root /home/minnie/.bash_profile
sudo chmod 755 /home/minnie/.bash_profile
ls -l /home/minnie/.bash_profile
В следующий раз, когда пользователь minnie войдет в систему, ее путь будет указывать на одну папку.
Наш ограниченный пользователь minnie может использовать только встроенные команды Bash, такие как echo, alias и logout. Она даже не может использовать ls!
ls
Нам нужно немного ослабить нашу мертвую хватку, если мы хотим, чтобы они вообще могли делать что-то полезное. Мы создадим несколько символических ссылок из каталога «bin» Минни на команды, которые мы хотим, чтобы Минни могла использовать.
sudo ln -s /bin/ls /home/minnie/bin
sudo ln -s /bin/top /home/minnie/bin
sudo ln -s /bin/uptime /home/minnie/bin
sudo ln -s /bin/pinky /home/minnie/bin
Когда Минни в следующий раз войдет в систему, она обнаружит, что может использовать встроенные команды Bash, а также те команды, которые были связаны.
ls
pinky dave
uptime
Ограничение существующих пользователей
Мы создали Минни как нового пользователя. Чтобы изменить оболочку существующего пользователя, мы можем использовать параметр -s (оболочка) команды usermod.
sudo usermod -s /bin/rbash mary
Вы можете использовать команду less в файле «/etc/passwd», чтобы быстро узнать, какая оболочка установлена в качестве оболочки пользователя по умолчанию.
less /etc/passwd
Мы видим, что пользователь mary будет использовать ограниченную оболочку при следующем входе в систему.
Не забудьте применить другие изменения, чтобы ограничить их переменную среды PATH и установить команды, которые вы хотите, чтобы пользователь mary мог выполнять.
Ограничение скриптов
Обычный неограниченный пользователь может запускать сценарии, которые выполняются в ограниченной оболочке. Скопируйте следующие строки и вставьте их в редактор. Сохраните файл как «restricted.sh» и закройте редактор.
#!/bin/bash # script starts in normal Bash shell echo "## In UNrestricted mode! ##" echo echo "Current directory: `pwd`" echo "Changing directory" cd /usr/share echo "Now in directory: `pwd`" echo "Changing to home directory" cd ~ echo "Now in directory: `pwd`" # Setting restricted mode set -r echo echo "## In restricted mode! ##" echo echo "Current directory: `pwd`" echo "Changing directory to /home/" cd /home echo "Still in directory: `pwd`" echo echo "Trying to start another shell" /bin/bash echo echo "Trying to redirect command output" ls -l $HOME > my_files.txt cat my_files.txt echo exit 0
Нам нужно использовать команду chmod с флагом +x (выполнить), чтобы сделать скрипт исполняемым.
chmod +x restricted.sh
Первая часть скрипта работает в обычной оболочке.
./restricted.sh
Вторая часть сценария — бит после строки «set -r» — выполняется в ограниченной оболочке.
Ни одно из предпринятых действий не увенчалось успехом в ограниченной части сценария.
Весь сценарий можно запустить в ограниченной оболочке, добавив -r в первую строку:
!#/bin/bash -r
Помните Гудини
Ограниченные оболочки полезны, но не полностью безошибочны. Достаточно опытный пользователь может их избежать. Но при разумном использовании они являются полезным способом установить набор ограничений для конкретной учетной записи.