Permalänk
Medlem

Min "Secure my server" tråd..

Jag tänkte använda denna tråden för att ställa frågor om hur jag säkrar min Debian 8-server.

Jag vill lägga till en användare som sudo, så han kan installera prylar utan att ha root. Jag följde en guide på interwebben, men det verkar inte funka:

root@noc:~# gpasswd -a raven sudo
Adding user raven to group sudo
root@noc:~# su raven
raven@noc:/root$ cd
raven@noc:~$ sudo apt-get install irssi
bash: sudo: command not found

Har jag missat nåt?

Visa signatur

IRC: raven @ EFNet
Web: N/A
Mail: raven (a) sosdg.org

Permalänk
Medlem
Skrivet av TheJonaz:

Jag vill lägga till en användare som sudo, så han kan installera prylar utan att ha root. Jag följde en guide på interwebben, men det verkar inte funka:

root@noc:~# gpasswd -a raven sudo
Adding user raven to group sudo
root@noc:~# su raven
raven@noc:/root$ cd
raven@noc:~$ sudo apt-get install irssi
bash: sudo: command not found

Har jag missat nåt?

installera sudo sen får du också gå in i dess config med visudo och aktivear wheel för sudo gruppen som ger tillgång till alla inom "sudo" gruppen att använda sudo.

Bra läsning: https://wiki.archlinux.org/index.php/sudo

Visa signatur

Arch - Makepkg, not war -||- Gigabyte X570 Aorus Master -||- GSkill 64GiB DDR4 14-14-15-35-1T 3600Mhz -||- AMD 5900x-||- Gigabyte RX6900XT -||- 2x Adata XPG sx8200 Pro 1TB -||- EVGA G2 750W -||- Corsair 570x -||- O2+ODAC-||- Sennheiser HD-650 -|| Boycott EA,2K,Activision,Ubisoft,WB,EGS
Arch Linux, one hell of a distribution.

Permalänk
Medlem
Skrivet av Commander:

installera sudo sen får du också gå in i dess config med visudo och enabla wheel för sudo gruppen.
Bra läsning: https://wiki.archlinux.org/index.php/sudo

Knappt pinsamt alls. Glömde att denna VPS är Debian 8 Minimal..alltså finns inte sudo Tack för påminnelsen..

Visa signatur

IRC: raven @ EFNet
Web: N/A
Mail: raven (a) sosdg.org

Permalänk

# adduser thejonaz

Jag föredrar adduser

Visa signatur

Intel i5 6600K | Be Quiet, Pure Rock! | Asus Z170 Pro Gaming | Asus GTX 1070 Strix Gaming | HyperX 16 GB (2x8GB) DDR4 2133MHz Fury Black | Samsung 850 Evo 250GB | Skärm: Samsung S27D390H | Chassi: Fractal Design Define R4 Black
Spelnick: Jernhand

Permalänk
Medlem

SELinux, någon som har erfarenhet? Jag vill ha något program eller funktion där jag kan styra users permissions. Ex. vill jag inte att de ska ta tillgång till funktioner som "w, ifconfig, sudo" etc. och ej heller kunna cd'a sig utanför sin /home/user

Visa signatur

IRC: raven @ EFNet
Web: N/A
Mail: raven (a) sosdg.org

Permalänk
Medlem
Skrivet av TheJonaz:

SELinux, någon som har erfarenhet? Jag vill ha något program eller funktion där jag kan styra users permissions. Ex. vill jag inte att de ska ta tillgång till funktioner som "w, ifconfig, sudo" etc. och ej heller kunna cd'a sig utanför sin /home/user

Kanske vore bra om du förklarade mer ungefär hur din setup ser ut, hur mycket du litar på personen som ska få access, etc. Du säger att personen ska kunna installera saker och du vill ge personen sudo, samtidigt vill du inte att personen ska kunna ta sig ur sin hemkatalog. Vad vill du uppnå med att låsa personen till sin hemkatalog?

Bara för att dubbelkolla, med sudo så har personen alltså root access och kan göra vad som helst på datorn. Skillnaden mellan root och sudo (i default setup) är att kommandona som personen kör loggas och personen kan använda sitt eget lösenord för att komma åt root. Notera att loggningen dock går dels är av ett frivilligt slag, det är kommandona som körs via sudo som loggas, men personen kan bara starta ett root shell via sudo och kringå loggning på det sättet. Det går dessutom att som root att ta bort själva loggfilerna.

Du kan i sudo konfigurera vilka program som personen får köra, och du skulle möjligtvis kunna låsa detta så att personen bara för köra t.ex. apt-get om du bara vill att personen ska få installera saker. Notera att detta skydd sällan fungerar i praktiken, då man ofta krångla sig förbi det. Ett exempel för apt vore t.ex. att personen skapar ett custom repo med ett deb-paket som han installerar. Jag är lite osäker på om man direkt kan skriva över existerande filer med en nytt deb-paket, men han kan kanske kanske installera något program med suid flagga eller liknande? Jag har inte testat föregående, poängen är bara att det är väldigt svårt att faktiskt låsa ner sudo på ett säkert sätt med denna metod, speciellt om personen dessutom ska kunna konfigurera de program som installeras.

Nu har jag visserligen inte testat SELinux på några år, men sist jag kollade var det mer än ett heltidsjobb att administrera det, så tyvärr tror jag inte heller detta är någon speciellt enkel lösning.

Det enda rimliga sättet att lyckas med det du vill som jag ser det är att köra någon container eller virtuell maskin. Men inte heller en container är nödvändigtvis säkert, återigen har jag inte följt detta i detalj så jag vet inte hur det är rent praktiskt, men i teorin så är root på en container samma som root på datorn.

Edit: Insåg att jag inte kollade datum på posten och att denna tråd var ungefär en vecka sen någon svarade, oh well

Permalänk
Inaktiv
Skrivet av TheJonaz:

SELinux, någon som har erfarenhet? Jag vill ha något program eller funktion där jag kan styra users permissions. Ex. vill jag inte att de ska ta tillgång till funktioner som "w, ifconfig, sudo" etc. och ej heller kunna cd'a sig utanför sin /home/user

Mycket erfarenhet me SElinux, tyvärr fungerar det aldrig så stängs alltid av LOL.
Eller så är jag kass, kan mycket väl vara detta. Skit bakom spakarna. Men eftersom det är så drygt och jag har aldrig haft problem med det avstängt så..

Vill du säkra dig så kör virtuellt och installera så lite som möjligt. Stäng allt i brandväggen utom det du använder och stäng av root från SSH. Mer än så lär inte behövas i vanliga fall.

Jag kör dock som default för att jag är lat:
Stänger av brandvägg och SElinux helt. Låter root looga in över SSH såvida den maskinen inte har SSH riktad mot internet.