limiter les commandes d'un user sans droit a faire -sudo toto-

ladsy · Le 30/11/2010, à 00:40

Bonjour,

En fait, ma question est quasiment dans le titre.

Sur le PC de ma mère, j'a i créé un compte "tutu", un compte "toto", un compte "tata".

"tata" est l'utilisateur principal. Il a le droit de faire "sudo su", sudo apt-get et est utilisé par ma mère. ... pour lui simplifier la tache, le mot de passe est .... hélas simple et toujours le meme ... "tata" en gros.
"toto" est un compte intermédiaire normal, mais avec un mot de passe bien chiant et dans les règles de l'art style $3rv1CEZuT?.

"tutu" ne me sert qu'à deux choses :
- il est le seul compte à permettre de se connecter en ssh2 via une clé privée/publique depuis internet (j'administre à distance le PC via ce lien ssh et fais mes petites manipulations de cette façon).
- il permet de faire "su tata" ... ce qui me permet ensuite de rebondir sur "su toto" puis en "sudo su".

J'ai paramétré sshd pour être assez restrictif (que tutu peut se connecter en ssh etc ...). Je compte pas le nombre de crétins avec des IP wanadoo ou des IP russe/etc/... qui tentent désespérement un "ssh root" dans mes logs ... alors que j'ai modifié le port 22. A croire que le PC de ma mère est une sucursale de la CIA et qu'il faut voir ce qui se passe dedans !!!

Bon ...

Le problème de tutu, c'est qu'il peut faire toutes les commandes lambda d'un utilisateur sans droit.
Par exemple, ls, mv, rm etc ... J'aimerais pouvoir limiter au maximum les commandes lançable par tutu. Notamment, qu'une fois connecté en tutu, un utilisateur ne puisse pas se promener via un "cd ..".
Qu'il reste sagement dans son /home/tutu et n'en bouge pas.
A la limite qu'il puisse faire du mkdir, mv, cp car je fais aussi du sftp via filezilla et ce compte ssh2, mais pas lancer des commandes trop complexes.

Auriez-vous une idée, une solution ... au moins empêcher le cd de remonter plus loins que /home/tutu/.

J'aimerais aussi n'autoriser "su tata" que depuis l'utilisateur toto ... et "su toto" que depuis l'utilisateur "tutu".

Ainsi, qui arrive sur tutu aura beau tenter su tata mdp tata, il se fera jeter ... et il devra deviner su toto qui lui est bien traps. D'ailleurs il ne pourra pas lancer autre chose que les script qu'il aura déposé via sftp car il n'y devrait même pas y avoir de cat ou de vi exécutable sur ce compte tutu.

Vous voyez ce que j'ai en tête ?

Vous sauriez comment faire ?
Merci d'avance du coup de main.

truestory · Le 30/11/2010, à 00:46

Bonjour,

Pour empecher les cd, tu as essayé bash --restricted?

ladsy · Le 02/12/2010, à 00:37

Bonjour,

Merci pour le coup de main.

Quelle est la commande que je dois réaliser exactement ?

Dans /etc/passwd, modifier la ligne :
toto:x:1001:1002:Prenom Nom,,,,:/home/toto:/bin/bash

Par la ligne :
toto:x:1001:1002:Prenom Nom,,,,:/home/toto:/bin/bash --restricted

Il n'y aura pas de problèmes avec l'espace dans cette ligne ?

Ou est-ce ailleurs que je dois faire d'autres manipulations ? Je ne peux pas l'installer tout de suite à distance et prendre le risque de ne plus pouvoir me connecter.

Comment peut-on éviter la rafale de messages d'erreurs à chaque mauvaise commande ?
Je suis par exemple dingue de l'autocompletion "tab" avec le bash et alors .... bonjour le message ...

$ cat .bbash: /dev/null : restreint : impossible de rediriger la sortie
bash: _upvars: `-a2': invalid number specifier
bash: words: mauvais indice de tableau
bash: /dev/null : restreint : impossible de rediriger la sortie
bash: /dev/null : restreint : impossible de rediriger la sortie
bash: _upvars: `-a2': invalid number specifier
bash: words: mauvais indice de tableau

biotechman · Le 02/12/2010, à 12:33

faire un chroot ne répondrait pas à ton problème ?
utlises rssh qui a l'air simple
http://forum.ubuntu-fr.org/viewtopic.php?id=429394

ladsy · Le 08/01/2011, à 16:48

Bonjour,
Merci.

J'ai déjà regardé de ce côté.
chroot, c'est super pour FTP, mais dans mon cas :
- 1) ça me semble bien complexe, j'ai tenté et il faut encore parfois faire de la recompil ... et surtout, il faut ajouter toutes les commandes nécessaires et les librairies associées. Bref, c'est hardu. En plus, je ne sais toujours pas si à partir d'un user chrooté on peut faire un "su - autre_user_non_chrooté". .... et puis le chrooté se retrouve certes dans son monde, mais administrateur de son petit monde

- 2) Ce serait super pour du mode texte, mais je ne sais pas si ça permet de faire de la redirection de port 5900 sur un compte déjà logué en X ....

Car en fait, en ce moment, je paramètre PuTTY pour rediriger le port local 5999 du PC de départ vers le port 5900 du PC sur lequel je me connecte en SSH. Hors, si le compte "distant" est chrooté, est-ce que la redirection de port se continuera .......
Malheureusement, je ne peux pas me permettre de faire le test sur le PC cible en risquant de couper toute connexion future .... car je l'aurais en main dans 2-3 mois et pas avant pour corriger les fichiers de confs. Il faut donc que je soit sur avant la manipulation.

Dernière modification par ladsy (Le 08/01/2011, à 16:49)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/11/2010, à 00:40

limiter les commandes d'un user sans droit a faire -sudo toto-

#2 Le 30/11/2010, à 00:46

Re : limiter les commandes d'un user sans droit a faire -sudo toto-

#3 Le 02/12/2010, à 00:37

Re : limiter les commandes d'un user sans droit a faire -sudo toto-

#4 Le 02/12/2010, à 12:33

Re : limiter les commandes d'un user sans droit a faire -sudo toto-

#5 Le 08/01/2011, à 16:48

Re : limiter les commandes d'un user sans droit a faire -sudo toto-

Pied de page des forums