elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  GNU/Linux (Moderador: MinusFour)
| | |-+  Cómo acceder a una única aplicación desde ssh?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cómo acceder a una única aplicación desde ssh?  (Leído 3,851 veces)
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Cómo acceder a una única aplicación desde ssh?
« en: 17 Abril 2015, 21:39 pm »

Hola, me gustaría tener un usuario en mi sistema linux (que puede ser con ubuntu o centos) el cual pueda tener acceso vía ssh unicamente a la ejecución de una aplicación, algo así como la película de las guerras de las galáxias via telnet pero en mi caso quiero prestar un servicio no http sino via terminal desde internet.

El software lo tengo y es un script en php el cual recibe comandos y muestra resultados.

Lo que hice para intentar hacer esto es crear un usuario nuevo en el servidor remoto:
Código:
# useradd --create-home -d /home/feedsh -s /home/feedsh/feedsh.sh feedsh

mi script feedsh.sh lo unico que hace es llamar al script en php y luego finalizar:
Código:
#!/bin/bash
php feedsh.php
exit

Asi que luego de poner los scripts en sh y php le hago un chown feedsh:feedsh . -R y le doy permisos de ejecución con chmos +x feedsh.sh y listo.

El tema es que no quiero correr riesgos de que alguna persona pueda ejecutar comandos arbitrarios o tenga acceso a hacer otra cosa que no sea solamente ejecutar ese script. Como lo hice es suficiente? o debo considerar otras cosas?


En línea

Pablo Videla


Desconectado Desconectado

Mensajes: 2.274



Ver Perfil WWW
Re: Cómo acceder a una única aplicación desde ssh?
« Respuesta #1 en: 17 Abril 2015, 21:42 pm »

Esto te puede ser útil.

http://blog-alexis.rhcloud.com/2012/02/09/como-hacer-chroot-de-usuarios-y-limitar-las-aplicaciones-a-utilizar/


En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Cómo acceder a una única aplicación desde ssh?
« Respuesta #2 en: 18 Abril 2015, 03:49 am »

Si yo creo que es suficiente. Cualquier argumento que le pasen a tu "shell", el script siempre va a ejecutar lo mismo.
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Cómo acceder a una única aplicación desde ssh?
« Respuesta #3 en: 18 Abril 2015, 04:19 am »

Muchas gracias a ambos  :)
En línea

Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: Cómo acceder a una única aplicación desde ssh?
« Respuesta #4 en: 18 Abril 2015, 07:31 am »

Perdón, hablando siempre desde la ignorancia (y desde el sueño mientras preparo otro parcial...XD) pero... si bien no se pueda acceder a modificar el script por tener solamente permisos de ejecucción, un usuario malicioso no podría mover a otra ubicación el mismo, y crear uno  con el mismo nombre, mas con contenido apócrifo? En este momento no podría probar un entorno similar -me acabo de quedar sin carga en la tablet donde corro un linux enjaulado- pero, no sería factible?

Acabo de verlo con más detenimiento, y creo que restringiendo el usuario a la jaula, y controlando el acceso a unos pocos comandos, se evitaría... un usuario normal sin embargo, si podría mover la ubicación del script...

« Última modificación: 18 Abril 2015, 07:48 am por Gh057 » En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Cómo acceder a una única aplicación desde ssh?
« Respuesta #5 en: 18 Abril 2015, 14:40 pm »

Perdón, hablando siempre desde la ignorancia (y desde el sueño mientras preparo otro parcial...XD) pero... si bien no se pueda acceder a modificar el script por tener solamente permisos de ejecucción, un usuario malicioso no podría mover a otra ubicación el mismo, y crear uno  con el mismo nombre, mas con contenido apócrifo? En este momento no podría probar un entorno similar -me acabo de quedar sin carga en la tablet donde corro un linux enjaulado- pero, no sería factible?

Acabo de verlo con más detenimiento, y creo que restringiendo el usuario a la jaula, y controlando el acceso a unos pocos comandos, se evitaría... un usuario normal sin embargo, si podría mover la ubicación del script...



Mientras que el script este protegido contra escritura nadie lo puede modificar. Idealmente el script deberia tener permiso 500 o dejar el archivo inmutable:

Código
  1. sudo chattr +i /home/feedsh/feedsh.sh
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Cómo acceder a una única aplicación desde ssh?
« Respuesta #6 en: 18 Abril 2015, 16:25 pm »

Pero ojo, el usuario no podrá acceder a la cuenta si no es a traves del ssh asi que como podría mover el script? si el script mismo es el ejecutable de arranque?
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Cómo acceder a una única aplicación desde ssh?
« Respuesta #7 en: 18 Abril 2015, 17:17 pm »

Pero ojo, el usuario no podrá acceder a la cuenta si no es a traves del ssh asi que como podría mover el script? si el script mismo es el ejecutable de arranque?

El punto es que si tienes permisos de escritura para otros usuarios fuera de ese usuario, los otros pueden sobreescribir el archivo y ejecutar el codigo atraves de SSH. La mascara por defecto creo que te deja con permisos 644 asi que lo mas probable es que solo el dueño tenga permisos de escritura. Personalmente no me arriesgaria a dejarle ese permiso, simplemente porque en ningun momento quisiera que el usuario escribiera sobre el archivo.
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Cómo acceder a una única aplicación desde ssh?
« Respuesta #8 en: 18 Abril 2015, 18:30 pm »

Ahh si, pero de todas maneras yo soy el único que accede a la maquina completa, el único acceso que dejaré de forma remota es el ssh de ese usuario en específico con ese script, todo el resto se entra con un usuario con privilegios elevados y se acabó.

De todas maneras lo tendré presente y le aplicacré dichos permisos.

Hace un tiempo tuve un problema muy similar pero con apache ya que intenté utilizar user_dir el cual me permitía tener un public_html por cada usuario en su propio home pero al final desde el apache cualquier usuario podía acceder al directorio del otro usuario a leer ya que apache se ejecutaba con permisos de www-data y al final a todos los directorios home había que darle permisos de lectura grupal 755 para que apache pudiera leer todos los homes o darle chown www-data:www-data a todos los public_html. Estuve averiguando y la única solucuión a esto era utilizar jail o un módulo de apache que no es oficial y ya está descontinuado :( pero en fin... eso ya es otro tema.
« Última modificación: 18 Abril 2015, 18:34 pm por WHK » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines