Chroot Script

swiffer · Beitrag von **swiffer** » 05.01.2006 18:17:13

Hallo alle bei einander

,
Gegeben ist folgendes Script:

#!/bin/bash
if [ "$1" = "-c" ]; then
        i=0;
        PARAMS="";
        for param in "$@"; do
                if [ $i -gt 0 ]; then
                        PARAMS="$PARAMS $param";
                fi
                let i++;
        done;
        sudo /usr/bin/chroot /home/$USER /bin/su - $USER -c "$@"
else
        sudo /usr/bin/chroot /home/$USER /bin/su - $USER
fi;

Allerdings bekomme ich immer eine Command not found fehlermeldung...
Ich verstehe absolut nicht warum.
--
Gruß,
Stefan

GoKi · Beitrag von **GoKi** » 05.01.2006 19:07:53

Was liefert denn

Code: Alles auswählen

which chroot

bei dir?
Liegt zumindest bei mir in /usr/sbin/

Savar · Beitrag von **Savar** » 05.01.2006 19:31:05

btw: wenn du den 1. Parameter nicht mit in der Liste haben willst, kannst du statt dem $i gedöns einfach vor der "for" Schleife einmal "shift" machen..

swiffer · Beitrag von **swiffer** » 06.01.2006 15:59:50

Oh, ein dummer fehler.

Chroot liegt natuerlich in /usr/sbin/

Danke!

--
Gruß,
Stefan

Tunix · Beitrag von **Tunix** » 08.01.2006 09:29:54

Es gibt ein Paket namens "chrootuid", dass Dir die Hampelei mit /bin/su ersparen sollte.

meandtheshell · Beitrag von **meandtheshell** » 08.01.2006 09:40:31

@swiffer
Wozu möchtest du das chroot directory verwenden? Um ein Plus an Sicherheit zu gewinnen?

http://www.debianforum.de/forum/viewtop ... l&start=15

markus

swiffer · Beitrag von **swiffer** » 08.01.2006 13:46:51

meandtheshell:
Ja. Ich moechte mir ein System Basteln welches jeden user (ausser root) in eine fake root umgebung schmeist. Damit moechte ich ausschliessen das die Kinder bzw. Jugendlichen die in der Schule an dem Rechner lernen das root Passwort aendern. Und dadurch Schaeden am System anrichten.

meandtheshell · Beitrag von **meandtheshell** » 08.01.2006 15:12:29

gut um - deine Kids zu "kontrollieren" sollte es reichen - für mehr nicht!
chroot ist nicht sicher (im Sinne von Isolierte Bereiche im System schaffen die ein black hat nicht leicht überwinden kann - depends on the black hat)

edit:
bessere Erklärung da ich darum gebeten wurde:
was ist ein black hat:
http://en.wikipedia.org/wiki/Black_hat
man spricht also von einem Menschen mit enorm großer Erfahrung und Fähigkeiten aber schlechten Absichten
der Rest ist oben im Link zu lesen

markus

swiffer · Beitrag von **swiffer** » 08.01.2006 23:31:56

hi,

chroot ist nicht sicher

nunja, was ist schon wirklich sicher?
Die Chroot loesung wirkt aufjedenfall ausreichend sein. Und wenn doch jemand rauskommen sollte. Bitte...den grossen Teil der Kiddies habe ich damit ausgesperrt. Was gibt es denn fuer Systeme die ich "Professionell" einsetzen koennte um einen User einzusperren?

--
Gruß,
Stefan.

nil · Beitrag von **nil** » 09.01.2006 08:46:38

Ja. Ich moechte mir ein System Basteln welches jeden user (ausser root) in eine fake root umgebung schmeist. Damit moechte ich ausschliessen das die Kinder bzw. Jugendlichen die in der Schule an dem Rechner lernen das root Passwort aendern.

Vielleicht solltest du eher mal schreiben, was du erlauben willst und nicht was du verbieten willst. Benötigen denn die Benutzer überhaupt einen Shell-Zugriff. Wie ist denn überhaupt root abgesichert. Du nutzt doch mindestens SSH-Keys mit einer Passphrase, oder? Passwörter sind nämlich an sich schon unsicher.
Aber mal im Ernst, wie wäre es denn mit einer Restricted Shell? Was sollen die Schüler denn nutzen dürfen? Wäre denn nicht /bin/false als Shell eine Alternative.

meandtheshell · Beitrag von **meandtheshell** » 09.01.2006 09:45:49

swiffer hat geschrieben:Was gibt es denn fuer Systeme die ich "Professionell" einsetzen koennte um einen User einzusperren?

Wie nil schon sagte das müsste man viel genauer wissen was du vorhast, welche Software zum Einsatz kommen soll, in welchem Umfeld (LAN, Intranet, Internet,etc.) die Maschine steht usw.

Tendenziell kann man sagen das eine Virtualisierung auf Kernel Ebene weit mehr "Schutz" bietet als alles was man im Userspace macht.
http://de.wikipedia.org/wiki/Virtualisi ... ormatik%29

Ich finde linux-Vserver sehr gut. Man muss jedoch das für seine Ansprüche beste auswählen - alle haben Stärken und Schwächen.
http://en.wikipedia.org/wiki/Comparison ... l_machines

markus

swiffer · Beitrag von **swiffer** » 09.01.2006 23:16:15

Hey,
sorry das ich jetzt erst schreibe, viel um die Ohren momentan..

Was sollen die Schüler denn nutzen dürfen?

Ich versuche es mal so einfach wie moeglich in worte zu verpacken.
Die Schueler sitzen direkt an der Konsole und lernen daran grundzuege mit Linux. Datei/Ordner anlegen. Wie das mit dem Root so ist, links anlegen. Floppy mounten.
Haken bei der sache ist, dass sie Root zugriff benoetigen. Sodass ich sofort an eine Fake root gedacht hatte.

Was mir gerade noch so nebenbei einfaellt, es wuerde "reichen" wenn das System nur on the fly laufen wuerde. Nach dem Reboot sind alle aenderungen weg. Eine Knoppix Cd kann ich nicht den Schuelern in die Hand druecken. Bis die am anfang des Unterrichtsverteilt worden sind..dann kommt eine weg, dann geht eine kaputt..ne ne

puerrom · Beitrag von **puerrom** » 13.01.2006 20:18:44

http://www.courtesan.com/sudo/intro.html

damit kannst du den Schülern gewisse root sachen erlauben andere aber ausschliessen...

und noch eine Anleitung:
http://www.linuxhomenetworking.com/linu ... dusers.htm