发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 管理员安全(15)
发信站: cs3 BBS (Mon Jun 16 13:14:54 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

9.加限制的环境

  (1)加限制的shell(rsh)
      该shell几乎与普通的shell相同,但是该shell的设计能限制一个用户的
  能力,不允许用户有某些标准shell所允许的行为:
      . 不能改变工作目录(cd).
      . 不能改变PATH或SHELL shell变量.
      . 不能使用含有"/"的命令名.
      . 不能重定向输出(>和>>).
      . 不能用exec执行程序.
      用户在登录时,招待.profile文件后系统就强加上了这些限制,如果用户
  在.profile文件正被解释时按了BREAK键或DELETE键,该用户将被注销.
      这些简单的限制,使用写受限制用户的.profile文件的系统管理员可以对
  用户能使用什么命令,进行完全的控制.
      应当注意:系统V加限制的shell实际上不是很安全,在敌对的用户时不要
  用.系统V版本2以后的版本中加限制的shell更安全些.但若允许受限制的用户
  使用某些命令(如env,cp,ln),用户将能逃避加限制的shell,进入非限制的
  shell.

  (2)用chroot()限制用户
      如果的确想限制一个用户,可用chroot()子程序为用户建立一个完全隔离
  的环境,改变了进程对根目录的概念,因此可用于将一个用户封在整个文件系
  统的某一层目录结构中,使用户无法用cd命令转出该层目录结构,不能存取文
  件系统中其余部分的任何文件.这种限制方式比加限制的shell好得多.用户使
  用的命令应由系统管理员在新的root目录中建立一个bin目录,并建立用户可
  用命令的链到系统的/bin目录中相应命令文件上(若在不同的文件系统则应拷
  贝命令文件).
      还应建立新的passwd文件,保留系统登录户头(为了使ls -l正确地报告与
  受限制的子文件系统中的文件相关的正确登录名)和用户帐户,但系统帐户的
  口令改为NOLOGIN以使受限制的用户不能取得系统登录的真实口令,使"破密"
  程序的任何企图成为泡影.
      utmp文件是who所需要的,该文件含有系统中已登录用户的列表.
      新的/etc/profile文件也不是建链文件,以便受限制的用户可以执行不同
  的启动命令.
      /dev目录中的终端设备文件被链接到新的/dev目录下,因为命令who产生
  输出时要查看这些文件.
      在系统V及以后的UNIX版本中,login命令有chroot()的功能.如果口令文
  件中用户入口项的登录shell域(最后一个域)是*,login将调用chroot()把用
  户的根目录设置成为口令文件中用户入口项登录目录域指定的目录.然后再调
  用exec()执行login,新的login将在新子系统文件中执行该用户的登录.
      chroot()并不是把root封锁在一个子文件系统中,所以给受限制用户用的
  命令时应加以考虑,具有root的SUID许可的程序可能会给予用户root的能力.
  应当将这种可能减低到最小程度,交给用户使用的命令应当取自清除了SUID陷
  井的系统命令.链接文件可减少磁盘占用区,但要记住,当与敌对用户打交道时
  链接到chroot目录结构(尤其是命令)的系统文件是很危险的.
      如果建立一个像这样的限制环境,应确保对安装到新的/bin的每条命令都
  做过测试,有些程序可能有系统管理员未曾想到的出乎意料的执行结果.为了
  使这些命令能运行,还得在加限制的子文件系统中加服务目录或文件如:/tmp,
  /etc/termcap,/usr/lib/terminfo,/dev/mem,/dev/kmem,/dev/swap,用户所
  登录的/dev中的tty文件以及/unix.
      有些程序在子文件系统中运行时不会很好,如果将假脱机程序和网络命令
  拷贝到加限制的子文件系统中,并放在为两条命令专建的目录层结构下,它们
  可能也运行不了.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]