daily memorandum 2.3.0

CBUG | FreeBSD | Hiki | Knoppix | Mac | Ruby | W-ZERO3 | Windows | ad | amd64 | ks | linux | momonga | net | print | security | tdiary | unix | www | 会社 | 鯖缶 | 全学ゼミ | 本

Apple Store（Japan）

2005-11-17 (Thu)

_ [security] sudo から interactive shell が実行できないようにするには

   % sudo tcsh

とか

   % sudo -s

で interactive shell を実行されてしまうと、何が実行されたか syslog に残らなくてイヤンなので、 sudoers にこんなこと書いて制限かけてみる:

   Cmnd_Alias	SHELLS = /bin/sh, /bin/csh, /bin/tcsh, /usr/local/bin/bash
   Cmnd_Alias	SHELLS_NONINTERACTIVE = /bin/sh -c *, /bin/csh -c *, \
                                       /bin/tcsh -c *, /usr/local/bin/bash -c *
   
   koma2	ALL=(root)	ALL, !SHELLS, SHELLS_NONINTERACTIVE

この時、ALL, !SHELLS, SHELLS_NONINTERACTIVE はこの順番でないといけないので注意。

まず、すべてのコマンドを許可
shell を不許可に
ただし、-c つきの場合は許可

って感じで解釈されるみたい。

これでどうしても interactive shell が使いたいって人が出たら、 sudosh を入れて許可してもいいかも。

本日のツッコミ(全3件) [ツッコミを入れる]

_ kyn (2005-11-17 (Thu) 19:23)

% sudo bash -c /bin/sh とかされたら抜けられそうな気がするんですけど、大丈夫なんですか？

_ koma2 (2005-11-17 (Thu) 23:01)

もちろん、大丈夫なわけないですがな。(爆)
ってか、やっぱ穴があったか。(苦笑)

・ Bourne shell の syntax が使える
・ interactive shell としては使えない
・呼び出せるコマンドが制限できる

restricted shell があるといいのだがなぁ。。。

_ tamo (2005-11-21 (Mon) 17:19)

env PATH=/var/restricted /bin/bash --restricted -c *
とかではどうなんでしょう。

/var/restricted に必要最低限のコマンドだけ
ln -s しておくんです。

手元にある OpenBSD pdksh では
ksh -r -c /bin/sh は (絶対 path なので) ちゃんと不許可です。

ツッコミ・コメントがあればどうぞ! E-mailアドレスは公開されません。

[TrackBack URL: http://bloghome.lovepeers.org/daymemo2/tb.cgi/20051117]

本日のリンク元

アンテナ

CBUGのCってなんだろうアンテナ ×27 : 26, 1
偽善者あんてな ×25 : 17, 6, 2
halchan's Antenna ×14
Motoyuki's Diary Links ×12
Momonga Members Links ×5
二度寝アンテナ ×4
http://www.bloglines.com/myblogs_display?sub=18926... ×2
としをアンテナ ×2
http://a.hatena.ne.jp/ttamo/ ×1
http://www.bloglines.com/myblogs_display?sub=23529... ×1
http://www.bloglines.com/myblogs_display?all=1 ×1
http://www.bloglines.com/myblogs_display?folder=15... ×1
youheのアンテナ ×1
http://www.bloglines.com/myblogs_display?sub=12154... ×1
http://www.bloglines.com/myblogs_display?sub=83427... ×1
狩野宏樹のアンテナ(試用中) ×1
http://a.hatena.ne.jp/gunshot/ ×1
http://www.bloglines.com/myblogs_display?sub=79894... ×1
http://www.bloglines.com/myblogs_display?sub=10879... ×1
http://www.bloglines.com/myblogs_display?folder=10... ×1
http://www.bloglines.com/myblogs_display?sub=11193... ×1
http://t.ngram.org/a/index.html ×1

その他のリンク元

検索

japanese pussy ×21 / japanese porno ×20 / porno sex ×18 / teens from tokyo ×12 / peeing 写真 ×11 / pussy japanese ×10 / 胸もみインタビュー ×8 / 胸もみインタビュー ×8 / squirting ×7 / sex porno ×6 / Pantyhose Sex ×5 / japan schoolgirl sex ×4 / big tit ×4 / adult pussy ×4 / teens from tokyo.com ×3 / キーワード不明 ×3 / hairy japanese teens ×3 / recoverdisk ×3 / Pussy,Sex ×3 / bash portupgrade ×3 / japanese teens pussy ×3 / pussy teens ×2 / japanese teens hairy pussy ×2 / sexy pussy ×2 / ｔｅｅｎｓｆｒｏｍｔｏｋｙｏ ×2 / FreeBSD topless ×2 / FreeBSD 6.0 ×2 / pussy clits ×2 / porno core ×2 / pussy japan ×2 / PORNO ×2 / japanese sexy pussy ×2 / pussy sex ×2 / japanese-sex GALLERY ×2 / schoolgirls ×2 / bbs.zgsm.com/bbs.php?bbs=/ ×2 / pussy porno ×2 / hairly girl japan ×2 / peeing ×2 / schg.schoolgirls ×2 / japanese pussy sex ×2 / peeing girl ×2 / adult-pussy ×2 / free japanese sex gallery ×2 / Japanese Teen ×2 / porno core porn ×2 / Japanese Pussy ×2 / japan sexy schoolgirl ×2 / Japanese hairy pussy ×2 / adult sex porno ×2 / teens pussy ×2 / japanese hairy girl ×2 / tokyo zoosex.com ×2 / teens porno ×2 / japanese teens porno ×2 / tokyo topless ×2 / openssh restricted shell ×1 / ntbackup どうよ ×1 / hiki.conf UTF-8 ×1 / Bourne Shell windows ×1 / firefox テーマ arin ×1 / restricted bash ×1 / "| sudo -S" interactive ×1 / "sudo -s" sudoers ×1 / "Linux ipv6設定" ×1 / パスワード変更 12154 ×1 / freebsd 5.4 read_dma error ×1 / 同一サーバで複数のHikiを運営する方法 ×1 / cups-PDF ×1 / chatzilla つながらない ×1 / zoosex ×1 / sudo "/bin/bash -c" ×1 / error=40<UNCORRECTABLE> ×1 / sudo bash ×1 / SHELLS_NONINTERACTIVE ×1 / wnn8 FreeBSD 動かす ×1 / pdksh restricted shell ×1 / restrictedモード ksh ×1 / "linux+ ipv6 設定" ×1 / sudo tcsh ×1 / ircII 使い方 ×1 / sudosh tcsh ×1 / csh ×1 / OpenBSD dell sc430 ×1 / OpenSSH パスワード変更 ×1 / xterm ports CONFLICTS ×1 / "d_type" "d_name" ×1 / !SHELLS, SHELLS_NONINTERACTIVE, ×1 / sudo csh Unix ×1 / restricted shell hp ×1 / cups pdf 日本語 xpdfrc ×1 / input/output-error シリアル ×1 / pmset + openbsd ×1 / tcsh restricted ×1 / /mnt was not properly dismounted' ×1 / spam filter BSD ×1 / postfix 452 Insufficient system storage ×1 / koma2@lovepeers.org ×1 / sudo +shell +実行を制限 ×1 / freebsd 6.2 source コマンド ×1

«前の日記(2005-11-08 (Tue)) 最新次の日記(2005-11-19 (Sat))» 編集

recent comments

links

recent items

2008-01-06 (Sun)
- 1. いまさらあけおめ
- 2. Installation problem of depended ports that are not yet instaled.
- 3. これで問題はすべて解決したのか？
2007-12-01 (Sat)
- 1. C で bool型
- 2. ISO C99 の規格
2007-10-25 (Thu)
- 1. Real UNIX MAGAZINE Day来場の案内
2007-10-16 (Tue)
- 1. 実は今年で退職します
2007-10-07 (Sun)
- 1. 実は今日で退職しました
- 2. REAL UNIX MAGAZINE Dayのご案内
2007-10-03 (Wed)
- 1. 次期教育用計算機システム(ECCS2008)について
2007-09-28 (Fri)
- 1. Abusing chroot
- 2. Apple さんからのお手紙第二弾
2007-09-22 (Sat)
- 1. Mail from Apple Store
2007-09-19 (Wed)
- 1. freebsd-update を実行したら…
2007-09-16 (Sun)
- 1. Unix Magazine DVD キター！
2007-09-06 (Thu)
- 1. iPod touch キター！
2007-09-05 (Wed)
- 1. UNIX MAGAZINE Classic with DVD(DVD4枚付)
2007-09-04 (Tue)
- 1. IPアドレスを喘ぎ声で再生するサイト
2007-08-28 (Tue)
- 1. jus 2007年9月勉強会: 「次世代ファイルシステムZFSへのお誘い」
- 2. Internet Week 2007 の Web ページ
2007-08-21 (Tue)
- 1. http://trac.macosforge.org/projects/macports/browser/trunk/dports/iphone
2007-08-16 (Thu)
- 1. HP ML115
- 2. Internet Week 2007
2007-08-07 (Tue)
- 1. 久し振りに portupgrade いぢってみたよ
2007-08-06 (Mon)
- 1. Amazon 夏の大バーゲン
- 2. Postfix 2.4 patchlevel 05 available
- 3. koma2's bookmarks on del.icio.us
2007-07-30 (Mon)
- 1. XUL/Migemo
2007-07-22 (Sun)
- 1. jus総会併設勉強会: 「迷惑メール対策と送信ドメイン認証の現実」
- 2. HP ProLiant ML115!!
2007-07-14 (Sat)
- 1. X11.app と一緒に上がってくる xterm ってジャマだよね
2007-07-10 (Tue)
- 1. Parallels 3.0 に上げたら…
2007-05-27 (Sun)
- 1. 新 MacBook 届きました
- 2. 今気付いたけど…
2007-05-16 (Wed)
- 1. 新 MacBook キター！
2007-04-29 (Sun)
- 1. 近況報告(1) --- MacBook にコーヒーを飲ませてしまった orz
- 2. 近況報告(2) --- ISMS(ISO27001)認証取得
2007-04-16 (Mon)
- 1. Windows Liveのサービスを「W-ZERO3」で──MSとウィルコム、統合ソフト提供
- 2. 「TCP/IPに係る既知のぜい弱性に関する調査報告書　改訂第2版」の発行について
2007-04-13 (Fri)
- 1. Leopard が 10月に延期
2007-04-10 (Tue)
- 1. EM-ONE driver for Mac
- 2. FOMAUSBDriver for Mac OS X プロジェクト
2007-04-08 (Sun)
- 1. FreeBSDに対するZFSの移植が完了
- 2. 社会不適合サイトリング
2007-04-07 (Sat)
- 1. AsiaBSDCon 2007 Paper/Slides List

<< 2005/11/ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 >>

«前の日記(2005-11-08 (Tue)) 最新次の日記(2005-11-19 (Sat))» 編集

written by 小松晋一朗 ( koma2@lovepeers.org )

リンクはご自由に。