Min "Secure my server" tråd..

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Mar 2017

Min "Secure my server" tråd..

Jag tänkte använda denna tråden för att ställa frågor om hur jag säkrar min Debian 8-server.

Jag vill lägga till en användare som sudo, så han kan installera prylar utan att ha root. Jag följde en guide på interwebben, men det verkar inte funka:

root@noc:~# gpasswd -a raven sudo
Adding user raven to group sudo
root@noc:~# su raven
raven@noc:/root$ cd
raven@noc:~$ sudo apt-get install irssi
bash: sudo: command not found

Har jag missat nåt?

IRC: raven @ EFNet
Web: N/A
Mail: raven (a) sosdg.org

Trädvy Permalänk
Medlem
Plats
#Archlinux
Registrerad
Jun 2007
Skrivet av TheJonaz:

Jag vill lägga till en användare som sudo, så han kan installera prylar utan att ha root. Jag följde en guide på interwebben, men det verkar inte funka:

root@noc:~# gpasswd -a raven sudo
Adding user raven to group sudo
root@noc:~# su raven
raven@noc:/root$ cd
raven@noc:~$ sudo apt-get install irssi
bash: sudo: command not found

Har jag missat nåt?

installera sudo sen får du också gå in i dess config med visudo och aktivear wheel för sudo gruppen som ger tillgång till alla inom "sudo" gruppen att använda sudo.

Bra läsning: https://wiki.archlinux.org/index.php/sudo

Arch - Makepkg, not war -||- Asus Crosshair Hero VI -||- GSkill 16GiB DDR4 15-15-15-35-1T 3600Mhz -||- AMD 1600x @ 4.1GHz -||- nVidia MSI 970 Gaming -||- Samsung 850 Pro -||- EVEGA G2 750W -||- Corsair 570x -||- Asus Xonar Essence STX -||- Sennheiser HD-650 -||
Arch Linux, one hell of a distribution.

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Mar 2017
Skrivet av Commander:

installera sudo sen får du också gå in i dess config med visudo och enabla wheel för sudo gruppen.
Bra läsning: https://wiki.archlinux.org/index.php/sudo

Knappt pinsamt alls. Glömde att denna VPS är Debian 8 Minimal..alltså finns inte sudo Tack för påminnelsen..

IRC: raven @ EFNet
Web: N/A
Mail: raven (a) sosdg.org

Trädvy Permalänk
Medlem
Plats
Mölndal
Registrerad
Aug 2006

# adduser thejonaz

Jag föredrar adduser

Intel i5 6600K | Be Quiet, Pure Rock! | Asus Z170 Pro Gaming | Asus GTX 1070 Strix Gaming | HyperX 16 GB (2x8GB) DDR4 2133MHz Fury Black | Samsung 850 Evo 250GB | Skärm: Samsung S27D390H | Chassi: Fractal Design Define R4 Black
Spelnick: Jernhand

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Mar 2017

SELinux, någon som har erfarenhet? Jag vill ha något program eller funktion där jag kan styra users permissions. Ex. vill jag inte att de ska ta tillgång till funktioner som "w, ifconfig, sudo" etc. och ej heller kunna cd'a sig utanför sin /home/user

IRC: raven @ EFNet
Web: N/A
Mail: raven (a) sosdg.org

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av TheJonaz:

SELinux, någon som har erfarenhet? Jag vill ha något program eller funktion där jag kan styra users permissions. Ex. vill jag inte att de ska ta tillgång till funktioner som "w, ifconfig, sudo" etc. och ej heller kunna cd'a sig utanför sin /home/user

Kanske vore bra om du förklarade mer ungefär hur din setup ser ut, hur mycket du litar på personen som ska få access, etc. Du säger att personen ska kunna installera saker och du vill ge personen sudo, samtidigt vill du inte att personen ska kunna ta sig ur sin hemkatalog. Vad vill du uppnå med att låsa personen till sin hemkatalog?

Bara för att dubbelkolla, med sudo så har personen alltså root access och kan göra vad som helst på datorn. Skillnaden mellan root och sudo (i default setup) är att kommandona som personen kör loggas och personen kan använda sitt eget lösenord för att komma åt root. Notera att loggningen dock går dels är av ett frivilligt slag, det är kommandona som körs via sudo som loggas, men personen kan bara starta ett root shell via sudo och kringå loggning på det sättet. Det går dessutom att som root att ta bort själva loggfilerna.

Du kan i sudo konfigurera vilka program som personen får köra, och du skulle möjligtvis kunna låsa detta så att personen bara för köra t.ex. apt-get om du bara vill att personen ska få installera saker. Notera att detta skydd sällan fungerar i praktiken, då man ofta krångla sig förbi det. Ett exempel för apt vore t.ex. att personen skapar ett custom repo med ett deb-paket som han installerar. Jag är lite osäker på om man direkt kan skriva över existerande filer med en nytt deb-paket, men han kan kanske kanske installera något program med suid flagga eller liknande? Jag har inte testat föregående, poängen är bara att det är väldigt svårt att faktiskt låsa ner sudo på ett säkert sätt med denna metod, speciellt om personen dessutom ska kunna konfigurera de program som installeras.

Nu har jag visserligen inte testat SELinux på några år, men sist jag kollade var det mer än ett heltidsjobb att administrera det, så tyvärr tror jag inte heller detta är någon speciellt enkel lösning.

Det enda rimliga sättet att lyckas med det du vill som jag ser det är att köra någon container eller virtuell maskin. Men inte heller en container är nödvändigtvis säkert, återigen har jag inte följt detta i detalj så jag vet inte hur det är rent praktiskt, men i teorin så är root på en container samma som root på datorn.

Edit: Insåg att jag inte kollade datum på posten och att denna tråd var ungefär en vecka sen någon svarade, oh well

Trädvy Permalänk
Inaktiv
Registrerad
Nov 2010
Skrivet av TheJonaz:

SELinux, någon som har erfarenhet? Jag vill ha något program eller funktion där jag kan styra users permissions. Ex. vill jag inte att de ska ta tillgång till funktioner som "w, ifconfig, sudo" etc. och ej heller kunna cd'a sig utanför sin /home/user

Mycket erfarenhet me SElinux, tyvärr fungerar det aldrig så stängs alltid av LOL.
Eller så är jag kass, kan mycket väl vara detta. Skit bakom spakarna. Men eftersom det är så drygt och jag har aldrig haft problem med det avstängt så..

Vill du säkra dig så kör virtuellt och installera så lite som möjligt. Stäng allt i brandväggen utom det du använder och stäng av root från SSH. Mer än så lär inte behövas i vanliga fall.

Jag kör dock som default för att jag är lat:
Stänger av brandvägg och SElinux helt. Låter root looga in över SSH såvida den maskinen inte har SSH riktad mot internet.