home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / unix / shell / 5240 < prev    next >
Encoding:
Text File  |  1993-01-04  |  2.4 KB  |  57 lines
  1. Newsgroups: comp.unix.shell
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!news.acns.nwu.edu!casbah.acns.nwu.edu!navarra
  3. From: navarra@casbah.acns.nwu.edu (John Navarra)
  4. Subject: Re: How to make Restrict Shell more safely?
  5. Message-ID: <1993Jan4.200732.7262@news.acns.nwu.edu>
  6. Sender: usenet@news.acns.nwu.edu (Usenet on news.acns)
  7. Nntp-Posting-Host: unseen1.acns.nwu.edu
  8. Organization: Northwestern University, Evanston Illinois.
  9. References: <cslee.225.726145569@pds.nchu.edu.tw> <1993Jan4.194925.7364@crd.ge.com>
  10. Date: Mon, 4 Jan 1993 20:07:32 GMT
  11. Lines: 44
  12.  
  13. In article <1993Jan4.194925.7364@crd.ge.com> davidsen@crd.ge.com (bill davidsen) writes:
  14. >  1. Create the directory /guest/bin, and put all the stuff you want in
  15. >there, as wellas your shell.
  16.  
  17. ok. 
  18. >  2. Create the guest user accounts, as /guest/user1, or /guest/joe, or
  19. >whatever. The sticky bit should be set on these directories, mode 1711
  20. >is suggested.
  21.  
  22. ok.
  23. >  3. Create a .profile file in /guest, *owned by bin*, and link it into
  24. >each user's home directory. Set permissions 644. This prevents the user
  25. >from changing or deleting the profile. In the profile set the PATH to
  26. >/guest/bin and set the variable *readonly*
  27. >    PATH=/guest/bin
  28. >    export PATH
  29. >    readonly PATH
  30. >
  31. ok.
  32. >  4. Remember that some programs give shell access via escapes, like vi,
  33. >emacs, etc. Some versions use PATH and are safe, some use /bin/sh and
  34. >are not at all safe.
  35.  
  36. Yeah, here is the BIG problem. If you want to let restricted users have 
  37. access to vi, mail, and news, you have the shell escape problem. This
  38. is not a trivial thing to fix -- especially if you don't have the source.
  39.  
  40. >  5. The *really* safe way to have guest users is to run them in a tiny
  41. >system of their own using chroot. It is very hard to do this without
  42. >losing a lot of functionality, however, so I don't do that.
  43.  
  44.     Yeah -- try ftp. Really, if this is the kind of atmosphere you want
  45. your general users to have, why give them UNIX accounts at all? Run some
  46. server-client which connects to your machine, brings down news, mail, or
  47. whatever, and let the user fiddle with it on his own machine where he can
  48. have as much functionality/security he wants.
  49.  
  50. -tms
  51.  
  52. -- 
  53. You can get further with a kind word | You can get further with a kind word
  54. and a gun than a kind word alone.    | and a phaser than a kind word and a gun.
  55.           --al capone                |           -- John Navarra
  56. =======From the Lab of the MaD ScIenTIst....navarra@casbah.acns.nwu.edu========
  57.