Re: lug-bg: The scripts for user accounting
- Subject: Re: lug-bg: The scripts for user accounting
- From: zezo@xxxxxxx (Cvetan Ivanov)
- Date: Fri, 20 Nov 1998 15:59:55 +0200
Hi,
Pisha do mailing lista, shtoto suvetite moje da sa ot polza za povecheto
hora koito sega zapochvat s linux/unix, i ne sa se sbluskvali s nqkoj
problemi za sigurnostta na mnogopotrebitelskite sistemi.
Nickola Trupcheff wrote:
>
> Scriptovete za koito govorehme,
> T.e. tezi za kontrol na userite sam gi slojil na
> ftp://ftp.ssi.bg/pub/Linux/acc_man.20
> Ne sa nishto osobeno, no mogat i da se izpolzvat ;))
>
Ne bih preporuchal na nikogo da gi izpolzva w tozi im vid. Moje bi sled
seriozna prerabotka moje da se polzvat, no ideqta za accounting sus
shell scriptove e malko neseriozna taka ili inache - ako stava vupros za
seriozen accounting, primerno za ISP. btw takiva raboti se pishat
po-dobre na perl.
Chast ot problemite sa svurzani sus sigurnostta:
1. Naj-seriozniq ( i naj-lesno opravim) problem e vikaneto na cqlata
sistema ot .bash_profile na usera. Dostatuchen e edin burz ^C i usera
poluchava shell, pone nikude ne vidqh zashtita ot tova, nqma dori i
`trap SIG...`, ne che tova vurshi rabota. Na vremeto taka 'hacknahme' OM
BBS ;). Opraviqta e shella ne usera v /etc/passwd da bude samiq script -
taka ne moje da poluchi interaktiven shell, ili pone ne tolkova prosto.
2. Izobshto ne e dobra ideq da se pazqt limitite na mqsto na koeto usera
moje da si gi pipa sam - ako napravi (1), ili prosto ako ima FTP access.
Da ne govorim kakvo stava ako nqkude iz sbin/ scriptovete se polzva na
doverie informaciq prochetena ot ~/something. 10#$something e nqkakva
zashtita sreshtu tova, no dali q ima na vsichki vuzmojni mesta?
Taka ili ineache e redno tazi informaciq da se pazi v nqkakva
direktoriq, koqto e pone 755 root.root. Ili home direktoriite na userite
da sa root.root 755. Po toq povod - `chown root.root ~/.bash_profile` ne
vurshi nikakva rabota, dokolkoto ~/ e user.users, a usera moje da si
pravi kakvoto iska v ~/ .
3. V adminstrativnite scriptove neprekusnato se pishe iz /tmp/ bez
osobeni proverki, koeto, meko kazano, ne e mnogo dobre. Redno e v takiva
sluchai da se pishe v direktoriq, koqto NE E 777.
t.e. ako sum klient na nqkoj kojto polzva tiq scriptove s goqlma
veroiatnost poluchavam neogranichen dostup, veroiatno i root shell,
zaedno s uslugata.
Drugite problemi sa svurzani s nadejnostta, naprimer:
Polzvaneto na grep za da se gleda kakvo stava iz sistemata e malko kofti
ideq. Da rechem che ima user 'test' i user 'testis'. ako user testis e
lognat, `w | grep test | wc -l` shte vurne 1. Ili user v imeto na kojto
ima 'lp' nqma da se pokazva v statistikite. Tova se reshava donqkude s
opciqta -w na grep, no samo donqkude, shtoto v sledvashtiq moment se
poqvqvat useri pesho i pesho_ab i vsichko otiva po dqvolite - tova sum
go vijdal na jivo.
Vsichkite tiq komandi, kakto i polzvaneto na wtmp/sac zabavqt dosta
neshtata i kato se razrasne malko sistemata vsicko stava ujasno bavno.
Scriptovere shte sprat da rabotqt ne prez Y2000, a samo sled mesec i
polovina, shtoto imat hardcoded 98, puk i ne vinagi
last_month=current_month-1. Za da se izbegnat tezi problemi moje da se
izpolzva UNIX timestamp (sec. ot 1970) za pazene na razlichno info, no
tova porajda nqkoj drugi griji.
V zakluchenie, vsichko tova (s izwestni korekcii) e prilojimo kato za
nachalo v malka sistema, no ako chovek planira nqkoj den da ima poveche
ot 100 usera e redno da se orientira kum neshto po-seriozno.
Cvetan
==================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
For more send to lug-bg-request@xxxxxxxxxxxx a single word 'info'
==================================================================
|