Debian Nach SSH Anmeldung ...

C

Criseas

Neuling
Thread Starter
Mitglied seit
18.08.2005
Beiträge
134
Ort
Erfurt
So hi Linluxxler :hail:
Ich habe ne Frage habe bei Google leider nix zu gefunden.
Aber auch auf www.GIDF.de nicht :(!

Habe aufm Server Debian 4.0 laufen und Open SSH

habe die SSHD.conf so Konfiguriert das sich nur ein Benutzer Anmelden kann

AllowUsers halt und PermitRootLogin off

Nun möchte ich nach Erfolgreicher Anmeldung das der Teilnehmer nicht die Bash läd sondern direkt einen SU <anderenUser> ausführt.

Sprich nach der Anmeldung muss man direkt noch ein Passwort eingben. Das einem Potentiellen Angreifer nciht die möglichkeit gegeben wird noch irgend etwas vorher auf dem Server zu Werkeln.

Ich hab es in der Passwd versucht und dort /bin/bash in /bin/su <username> getauscht aber das hatte leider nciht den gewünschten effekt. Vlt nur etwas falsch?

Dieser SU soll nicht direkt auf root gehen.


Hoffe auf erleuchtende Antworten ;) :fp

P.S. vlt kann mir wer nen link geben wo ich etwas finde und Benutzer im Homeverzeichniss einsprerren kann. ohne Chroot


Gruß Criseas
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bin mir da nicht ganz sicher, aber würde es nicht reichen, in die .bashrc ein
su <username>
Zum Vergrößern anklicken....
an die oberste Stelle zu schreiben?

Eventuell kann man das aber mit nem Strg+C/Z abbrechen...

Habs grad an meiner .bashrc getestet. Kann man nicht. Also würde ich das empfehlen ;)

Edit: Zum Glück den root aktiviert :d

Edit2: Oops, sorry Criseas. Hab eben erst gemerkt, wie blöd mein toller "Tipp" war. Nach einer falschen Anmeldung landet man wieder in der Bash. Garnicht drüber nachgedacht ;)
 
Zuletzt bearbeitet:
Hmm sonst noch ideen^^?=

ich hattes schonmal aber das ist soolange her :d
 
frage ist, was hast du davon? das man sich zweimal anmelden muss?
aber du könntest ne chroot für den login bauen, so das der user erst in der chroot umgebung landet.
 
pugnacity schrieb:
frage ist, was hast du davon? das man sich zweimal anmelden muss?
aber du könntest ne chroot für den login bauen, so das der user erst in der chroot umgebung landet.
Zum Vergrößern anklicken....

Ich will das der Angreifer direkt nach der Anmeldung gezwungen wird ein weiteres mal ein Passwort einzugeben muss. Ohne das er die möglichkeit hat ein Programm auszuführen.
 
Criseas schrieb:
Ich will das der Angreifer direkt nach der Anmeldung gezwungen wird ein weiteres mal ein Passwort einzugeben muss. Ohne das er die möglichkeit hat ein Programm auszuführen.
Zum Vergrößern anklicken....

Ja aber was erhoffst du dir davon, wenn er beim ersten Mal das PW wusste, wird er es beim zweiten Mal auch noch wissen.

Um potenzielle Angreifer draussen zu lassen hilft fail2ban, das blockt IP Adressen von Portscannern für eine gewisse Zeit, nach 3 Versuchen ein PW einzugeben.

Und ansonsten hilft nur, ein sicheres PW verwenden, mit Zahlen, Ziffern, Groß-/Kleinbruchstaben und eventuell noch Sonderzeichen. Sowas sollte in den PW Büchern der Angreifer nicht vorkommen.
 
@Criseas
Was du suchst ist eine restricted shell. Dafür bietet sich rbash oder rksh.
Dann musst du drauf achten, wie die PATH-Variable gesetzt ist. Du kannst dem benutzer sogar alle Befehle wegnehmen und nur einzelne zuweisen, wenn du nen Verzeichnis anlegst und die PATH-Variable darauf zeigen lässt. Dann legst du Hardlinks zu den echten Programmen an. Aber achtung: Wenn ein Programm shell escaping unterstützt...

Guck mal, eben gefunden, werde den selbst mal lesen:
http://www.securityfocus.com/infocus/1575

gruß
hostile

---------- Beitrag hinzugefügt um 10:53 ---------- Vorheriger Beitrag war um 10:53 ----------

@Criseas
Was du suchst ist eine restricted shell. Dafür bietet sich rbash oder rksh.
Dann musst du drauf achten, wie die PATH-Variable gesetzt ist. Du kannst dem benutzer sogar alle Befehle wegnehmen und nur einzelne zuweisen, wenn du nen Verzeichnis anlegst und die PATH-Variable darauf zeigen lässt. Dann legst du Hardlinks zu den echten Programmen an. Aber achtung: Wenn ein Programm shell escaping unterstützt...

Guck mal, eben gefunden, werde den selbst mal lesen:
http://www.securityfocus.com/infocus/1575

gruß
hostile
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh