home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / unix / shell / 5253 < prev    next >
Encoding:
Internet Message Format  |  1993-01-05  |  2.5 KB
  1. Path: sparky!uunet!crdgw1!rdsunx.crd.ge.com!ariel!davidsen
  2. From: davidsen@ariel.crd.GE.COM (william E Davidsen)
  3. Newsgroups: comp.unix.shell
  4. Subject: Re: How to make Restrict Shell more safely?
  5. Message-ID: <1993Jan5.164018.14914@crd.ge.com>
  6. Date: 5 Jan 93 16:40:18 GMT
  7. References: <cslee.225.726145569@pds.nchu.edu.tw> <1993Jan4.194925.7364@crd.ge.com> <1993Jan4.200732.7262@news.acns.nwu.edu>
  8. Sender: usenet@crd.ge.com (Required for NNTP)
  9. Reply-To: davidsen@crd.ge.com (bill davidsen)
  10. Organization: GE Corporate R&D Center, Schenectady NY
  11. Lines: 36
  12. Nntp-Posting-Host: ariel.crd.ge.com
  13.  
  14. In article <1993Jan4.200732.7262@news.acns.nwu.edu>, navarra@casbah.acns.nwu.edu (John Navarra) writes:
  15.  
  16. | >  4. Remember that some programs give shell access via escapes, like vi,
  17. | >emacs, etc. Some versions use PATH and are safe, some use /bin/sh and
  18. | >are not at all safe.
  20. | Yeah, here is the BIG problem. If you want to let restricted users have 
  21. | access to vi, mail, and news, you have the shell escape problem. This
  22. | is not a trivial thing to fix -- especially if you don't have the source.
  23.  
  24.   Well, I have source for rn and Microemacs, so I can give people news
  25. and a good editor. It may not be the editor they like best, but it's
  26. there. I could grab one of the vi clones like vile, stevie or viper and
  27. hack that, too. All you need is to be sure which sh is used.
  28.  
  29. | >  5. The *really* safe way to have guest users is to run them in a tiny
  30. | >system of their own using chroot. It is very hard to do this without
  31. | >losing a lot of functionality, however, so I don't do that.
  33. |     Yeah -- try ftp. Really, if this is the kind of atmosphere you want
  34. | your general users to have, why give them UNIX accounts at all? Run some
  35. | server-client which connects to your machine, brings down news, mail, or
  36. | whatever, and let the user fiddle with it on his own machine where he can
  37. | have as much functionality/security he wants.
  38.  
  39.   The problem is that many users don't have their own machine or are
  40. connected via low bandwidth line. And many people who want to allow
  41. guests don't want to go to a huge effort providing fancy access modes.
  42. The restricted shell is a reasonable compromise.
  43.  
  44.   BTW: you don't really need source to fix programs giving shell access,
  45. a good binary file editor (I use bpe) will allow you to disable the
  46. feature or restrict it. A bit of work, but not impossible.
  47. -- 
  48. bill davidsen, GE Corp. R&D Center; Box 8; Schenectady NY 12345
  49.     Keyboard controller has been disabled, press F1 to continue.
  50.