Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Shell accounti i kvote (i686 GNU/Linux)

[es] :: Unix :: Shell accounti i kvote (i686 GNU/Linux)

[ Pregleda: 3428 | Odgovora: 11 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

stracenski
Hrvatska

Član broj: 47335
Poruke: 41
*.adsl.net.t-com.hr.



Profil

icon Shell accounti i kvote (i686 GNU/Linux)26.01.2006. u 01:10 - pre 221 meseci
imam shell account i686 GNU/Linux i zamolio bi gospodu da mi odgovore na dva pitanja:

1. zanimalo bi me kako da preko puttija napravim account tj. kad se netko spaja preko mog usernema ali sa drugim passwordom da tog istog usera preusmjeri u njegov folder
2. kako na taj folder stavljat kvotu i limit na background procese isl.

Nisam root. Ako se ne moze a da nisam root na serveru zanimalo bi me sta bi trebao napravit ako jesam.

hvala
pozdrav
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)26.01.2006. u 01:15 - pre 221 meseci
Nemoguce je to sto zelis.
Jedan username == jedan korisnik == jedan password == jedan home i tako dalje.
JaFreelancer.com
 
Odgovor na temu

stracenski
Hrvatska

Član broj: 47335
Poruke: 41
*.adsl.net.t-com.hr.



Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)26.01.2006. u 02:03 - pre 221 meseci
ok onda...kako novog korisnika napravit sa gore prilozenim limitima i redirekcijama

[Ovu poruku je menjao stracenski dana 26.01.2006. u 03:06 GMT+1]
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)26.01.2006. u 02:23 - pre 221 meseci
Kad bi bio root, napravio bi novog korisnika (man useradd), stavio mu kvotu na home (man quota) i stavio limite po pitanju procesa (man ulimit).

[Ovu poruku je menjao VRider dana 26.01.2006. u 03:23 GMT+1]
JaFreelancer.com
 
Odgovor na temu

brcha
Filip Brčić
Beograd, Serbia

Član broj: 440
Poruke: 436

Jabber: brcha@kdetalk.net
ICQ: 40994923
Sajt: brcha.com


+2 Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)26.01.2006. u 02:27 - pre 221 meseci
Citat:
VRider: Nemoguce je to sto zelis.
Jedan username == jedan korisnik == jedan password == jedan home i tako dalje.


Nije tacno. Moguce je to sto on zeli. Resenje se zove

pam_ssh

Rec je o tome da se autentikacija vrsi tako sto se sifra koju korisnik ukuca propusti kroz ssh kljuceve u ~/.ssh direktorijumu. Ako prodje kroz jedan, znaci da je ok i korisnik se uloguje.

Drugo resenje je ~/.ssh/authorized_keys gde se izlistaju ssh kljucevi koji mogu da se loguju, ali onda nema password-a nego covek mora da u putty-ju podesi ssh kljuc. Ovo drugo resenje npr. radi i kad nisi root.

Pogledaj malo man-ove, google, freshmeat, i slicne izvore, pa ces nesto iskopati.

Poz
Brcha

[Ovu poruku je menjao brcha dana 26.01.2006. u 03:28 GMT+1]
... and the aliens sent an android down to earth, to slow down mankind's development
... and they named it Bill Gates.
 
Odgovor na temu

stracenski
Hrvatska

Član broj: 47335
Poruke: 41
*.adsl.net.t-com.hr.



Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)26.01.2006. u 03:02 - pre 221 meseci
e to te ja pitam stari!

hvala
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)26.01.2006. u 11:02 - pre 221 meseci
I dalje nije moguce.
To sto ce korisnik da ukucava nije password, vec passphrase. I zavisi upravo od kljuceva koje si pomenuo. Dakle, svaki "podkorisnik" bi trebao da ti posalje svoj javni kljuc, da se on smesti u autorizovane kljuceve... I sta onda? Sto se tice linuxa, svi su oni i dalje jedan korisnik. Za njih vazi jedna kvota, jedan limit kada su procesi u pitanju.
Dakle:
Jedan username == jedan korisnik == jedan password (vise pasphrasea ) == jedan home i tako dalje.

Mada, mozda moze nesto da iz izbunari. Iznenadi me.
JaFreelancer.com
 
Odgovor na temu

brcha
Filip Brčić
Beograd, Serbia

Član broj: 440
Poruke: 436

Jabber: brcha@kdetalk.net
ICQ: 40994923
Sajt: brcha.com


+2 Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)26.01.2006. u 17:07 - pre 221 meseci
Citat:
VRider: I dalje nije moguce. :)
To sto ce korisnik da ukucava nije password, vec passphrase. I zavisi upravo od kljuceva koje si pomenuo. Dakle, svaki "podkorisnik" bi trebao da ti posalje svoj javni kljuc, da se on smesti u autorizovane kljuceve... I sta onda? Sto se tice linuxa, svi su oni i dalje jedan korisnik. Za njih vazi jedna kvota, jedan limit kada su procesi u pitanju.
Dakle:
Jedan username == jedan korisnik == jedan password (vise pasphrasea :)) == jedan home i tako dalje.

Mada, mozda moze nesto da iz izbunari. Iznenadi me. :)


Password, passphrase, slazem se... ali korisniku je sve jedno. Sto se tice kvota, taj deo ne moze u pravom smislu te reci da se ostvari i taj "podkorisnik" ce se za Linux ponasati kao isti korisnik. Cak i da se izbunari da se korisniku promeni $HOME na neki drugi direktorijum, to ga nikako ne bi sprecilo da ode u bilo koji drugi direktorijum koji pripada glavnom korisniku. Takodje, bilo kakva zamisao kvota je nemoguca na sistemskom nivou.

Prvi deo pitanja je bio da se omoguci i drugom korisniku da se loguje na njegov nalog, a da mu on ne da sifru. Ako je to osoba u koju doticni stracenski ima poverenja, te nije neophodno kompletno se stititi od napada, najbolje je ostaviti sve na ssh kljucu.

Ako stracenski zeli da omoguci bilo kom nepoznatom korisniku ovakvu funkcionalnost, pod uslovom da taj "nepoznati korisnik" nije neki gadni haxor, moze da se virtualizuje podkorisnik sa kvotom. To bi moglo da bude realizovani tako sto se omoguci coveku da se uloguje preko SSH kljuca i onda se kao shell pokrene neki program koji bi trazio da se uloguje u "podusername". Nakon tog logovanja bi taj program (koji je podesen kao shell za glavnog korisnika) pokretao bash u sandbox-u u nekom poddirektorijumu. Na taj nacin moze da ostvari i kvotu i separaciju (naravno da tu kvotu i separaciju moze mnogo vise ljudi da haxne nego pravu, ali nije o tome rec). Naravno ako se u "podusername" uloguje glavni korisnik, onda bi se postao obican bash bez sandbox-a.

Sandbox inace menja odredjene libc pozive klijentskom programu (ovde bash-u) te ga na taj nacin ogranicava. Svakako moze da ogranici pisanje samo na neki poddirektorijum, a uz malo eventualnog patchovanja sigurno moze i da obezbedi kvotu na ukupnu kolicinu fajlova u poddirektorijumu.
... and the aliens sent an android down to earth, to slow down mankind's development
... and they named it Bill Gates.
 
Odgovor na temu

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
*.maksnet.net.

Jabber: damirm | gmail | com
ICQ: 134002435


+13 Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)27.01.2006. u 12:44 - pre 221 meseci
Svidja mi se ideja, i bas cu malo da pogledam o tome, ali, kada je prakticna upotreba u pitanju, sve to zahteva root pristup, a ako imas root pristup, onda ces lakse kreirani "normalne" korisnike za svakoga kome to treba. Sve mi ovo zvuci kao zelja za preprodajom shell naloga, a tu ti ni jedan root nece mnogo pomoci.
JaFreelancer.com
 
Odgovor na temu

stracenski
Hrvatska

Član broj: 47335
Poruke: 41
*.adsl.net.t-com.hr.



Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)27.01.2006. u 13:24 - pre 221 meseci
nije preprodaja u pitanju...nesto slicno... ali i o tome razmisljam...za blisku buducnost.
server nema bandwidth limit i veza je gbitna tako da bi moglo bit nesto, samo trebam dobar izgovor imat za to...malo isplanirat itd.

prostudirat cu ovo...pa valjda nesto bude od toga...VRider kad "pogledas" javi! ;)

inace zahvalan sam vam na opseznim odgovorima...nadam se da cu i ja vama jednog dana moc pomoc ;)

thanks
 
Odgovor na temu

brcha
Filip Brčić
Beograd, Serbia

Član broj: 440
Poruke: 436

Jabber: brcha@kdetalk.net
ICQ: 40994923
Sajt: brcha.com


+2 Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)27.01.2006. u 16:17 - pre 221 meseci
Citat:
VRider: Svidja mi se ideja, i bas cu malo da pogledam o tome, ali, kada je prakticna upotreba u pitanju, sve to zahteva root pristup, a ako imas root pristup, onda ces lakse kreirani "normalne" korisnike za svakoga kome to treba. Sve mi ovo zvuci kao zelja za preprodajom shell naloga, a tu ti ni jedan root nece mnogo pomoci.


Ne, ne zahteva root pristup. Sve sto zahteva jeste da je korisnik u stanju da promeni svoj shell na nesto tipa ~/bin/mojShell i to je to. A korisnik uglavnom moze da promeni svoj shell na bilo sta. Cak i ako ne moze, moze da se stavi da se iz .bashrc startuje taj ~/bin/mojShell koji dalje pokrece logovanje i sandbox bash.
... and the aliens sent an android down to earth, to slow down mankind's development
... and they named it Bill Gates.
 
Odgovor na temu

brcha
Filip Brčić
Beograd, Serbia

Član broj: 440
Poruke: 436

Jabber: brcha@kdetalk.net
ICQ: 40994923
Sajt: brcha.com


+2 Profil

icon Re: Shell accounti i kvote (i686 GNU/Linux)27.01.2006. u 23:13 - pre 221 meseci
Da se ne cimate dalje sa potragom za sandbox-om, ima lep sandbox koga je napravio Dag Wiers pod nazivom soapbox. Nalazi se na adresi

http://dag.wieers.com/home-made/soapbox/

Programcic radi na principu ld_preload gde ubaci svoj libsoapbox.so. Dolazi u kompletu sa skriptom za pokretanje toga u formi "soapbox komanda" sto je krajnje jednostavno, zar ne?

Za user-a da to instalira je dovoljno da instalira skript u ~/bin, a biblioteku u npr. ~/lib, da u .bashrc doda LD_LIBRARY_PATH="/home/<korisnik>/lib:$LD_LIBRARY_PATH", pozove glup programcic koji ce da ucita password i vrati npr. userid (znaci "~/bin/myLogin;MYUSERID=$?") pri cemu je myLogin.c nesto tipa

Code:

#include <stdio.h>
#include <unistd.h>

int main(int argc, char* argv[]) {
  char * username;
  char * password;
  int userid;

  username = (char*) malloc((unsigned)(255*sizeof(char));
  printf("Username: ");
  scanf("%s", &username);
  password = getpass("Password: ");
  //< check the password >
  //< return 0 if user is nonexistent >
  //< get the user id >
  return userid;
}


Nakon toga na osnovu $MYUSERID pozoves soapbox sa odgovarajucim parametrima i uzivas.

Poz
Brcha
... and the aliens sent an android down to earth, to slow down mankind's development
... and they named it Bill Gates.
 
Odgovor na temu

[es] :: Unix :: Shell accounti i kvote (i686 GNU/Linux)

[ Pregleda: 3428 | Odgovora: 11 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.