

<br><tt><font size=2>freenx-knx-bounces@kde.org wrote on 06/02/2013 06:49:35:<br>

<br>

> Hello,<br>

> <br>

> I have searched something to do that and i find !!<br>

> <br>

> I use lshell to prevent all actions over ssh and in a shell, but allow

<br>

> NX sessions.<br>

</font></tt>

<br><tt><font size=2>Hmmmm</font></tt>

<br>

<br><tt><font size=2>Sounds like a lot of work . . .</font></tt>

<br><tt><font size=2>and</font></tt>

<br><tt><font size=2>in the end not very well pinned down because lshell

is</font></tt>

<br><tt><font size=2>rather basic and not so difficult to get round </font></tt>

<br><tt><font size=2>unless</font></tt>

<br><tt><font size=2>you very heavily restrict what the users can launch

. . .</font></tt>

<br>

<br>

<br><tt><font size=2> <br>

> If you want more informations, you're welcome.</font></tt>

<br>

<br>

<br><tt><font size=2>Well . . . I'm interested anyway !!</font></tt>

<br>

<br>

<br><tt><font size=2>What did you have to permit (in /etc/lshell.conf)

</font></tt>

<br><tt><font size=2>to get it all to run??</font></tt>

<br>

<br><tt><font size=2>. . . how did you get it to run:-</font></tt>

<br>

<br><tt><font size=2>           

     /usr/bin/nxnode</font></tt>

<br>

<br><tt><font size=2>as a user . . . cos lshell doesn't much like paths-to-executables

. . . </font></tt>

<br>

<br>

<br><tt><font size=2>You can just permit startkde/gnome and they run fine</font></tt>

<br><tt><font size=2>but</font></tt>

<br><tt><font size=2>when kde etc are running, how can you then stop</font></tt>

<br><tt><font size=2>users launching /bin/bash ftp email etc (from within

kde)</font></tt>

<br>

<br><tt><font size=2>Lots of configuring there . . . </font></tt>

<br>

<br>

<br>

<br><tt><font size=2>lshell is a bit basic in operation.</font></tt>

<br>

<br><tt><font size=2>It only filters on "command name"</font></tt>

<br><tt><font size=2>        not the command's

binary signature</font></tt>

<br><tt><font size=2>           

     like apparmor and SElinux . . .</font></tt>

<br><tt><font size=2>eg,</font></tt>

<br><tt><font size=2>Have you tried copying</font></tt>

<br>

<br><tt><font size=2>        cp /bin/bash ~/bin/ls</font></tt>

<br>

<br><tt><font size=2>then running ls from lshell ???</font></tt>

<br>

<br>

<br><tt><font size=2>So without extra configuration</font></tt>

<br><tt><font size=2>You have to</font></tt>

<br><tt><font size=2>permenantly stop the users from</font></tt>

<br><tt><font size=2>doing just about everything, including copying.</font></tt>

<br>

<br>

<br><tt><font size=2>(NOTE</font></tt>

<br><tt><font size=2>actually I don't allow any users write access</font></tt>

<br><tt><font size=2>to any filesystem mounted with exec, so /home and</font></tt>

<br><tt><font size=2>/var  ( /tmp -> /var/tmp ) are noexec here,

which</font></tt>

<br><tt><font size=2>stops a lot of that sort of thing . . . )</font></tt>

<br>

<br>

<br>

<br>

<br>

<br>

<br><tt><font size=2>It is better not to run the combination:-</font></tt>

<br>

<br><tt><font size=2>        sshd    with</font></tt>

<br><tt><font size=2>        passwordauthentication

yes</font></tt>

<br><tt><font size=2>        port 22  

   (or any other port too preferably)</font></tt>

<br><tt><font size=2>        ListenAddress

"on a globally acessible IP"</font></tt>

<br><tt><font size=2>           

             127.0.0.1

only would be good</font></tt>

<br>

<br>

<br><tt><font size=2>unless</font></tt>

<br><tt><font size=2>        you restrict incoming

ssh on originating IP</font></tt>

<br><tt><font size=2>        you don't bother

logging attempted connections</font></tt>

<br><tt><font size=2>           

    else you don't mind huge log files full</font></tt>

<br><tt><font size=2>           

            of password brute

force attacks,</font></tt>

<br><tt><font size=2>           

            one every 15

mins typical here</font></tt>

<br><tt><font size=2>        you don't mind

weak passwords being guessed.<br>

</font></tt>

<br>

<br><tt><font size=2>So IMNSHO you really ought to fix that as a matter

of</font></tt>

<br><tt><font size=2>course,</font></tt>

<br><tt><font size=2>by having only rsa/dsa visible from outside</font></tt>

<br>

<br>

<br>

<br>

<br>

<br><tt><font size=2>Then looking at the OP's requrements</font></tt>

<br>

<br><tt><font size=2>to stop people getting stuff off the server you have

to</font></tt>

<br><tt><font size=2>stop all outgoing sessions, regardless of how well

you</font></tt>

<br><tt><font size=2>think your restricted shell is doing, and even that

doesn't</font></tt>

<br><tt><font size=2>stop client screen prints.</font></tt>

<br>

<br>

<br>

<br>

<br><tt><font size=2>And, as a point of policy</font></tt>

<br>

<br><tt><font size=2>it is much better to properly configure the software

you</font></tt>

<br><tt><font size=2>are already running so it is as secure as you can</font></tt>

<br><tt><font size=2>reasonably make it</font></tt>

<br><tt><font size=2> i.e.        no passwordauthentication</font></tt>

<br>

<br><tt><font size=2>and</font></tt>

<br><tt><font size=2>        no email, ftp

etc out in this case</font></tt>

<br><tt><font size=2>than</font></tt>

<br><tt><font size=2>install more software, particularly</font></tt>

<br><tt><font size=2> e.g. lshell   which doesn't quite do it

all</font></tt>

<br>

<br><tt><font size=2> </font></tt>

<br>

<br>

<br><tt><font size=2>I'd be interested to see what you have done tho'</font></tt>

<br><tt><font size=2>not being a restricted shell expert . . . </font></tt>

<br>

<br><tt><font size=2>> <br>

> Sincerely,<br>

> <br>

> Jean<br>

> <br>

> Jean Milot  - jmilot@dotriver.eu - </font></tt><a href=www.dotriver.eu><tt><font size=2>www.dotriver.eu</font></tt></a><tt><font size=2><</font></tt><a href=http://www.dotriver.eu/><tt><font size=2>http://www.dotriver.eu/</font></tt></a><tt><font size=2>><br>

> 5 passage de l'avenir, F-69200 Vénissieux<br>

> Fixe: +33 (0)4 27 46 39 80 Hotline: # 89  Fax: # 81<br>

> <br>

> Renouvellement du label LVED pour DotRiver ( </font></tt><a href=http://bit.ly/Rwv5F9><tt><font size=2>http://bit.ly/Rwv5F9</font></tt></a><tt><font size=2>

)<br>

> Le BYOD est mort ! vive le KYED ( </font></tt><a href=http://bit.ly/Qelwtz><tt><font size=2>http://bit.ly/Qelwtz</font></tt></a><tt><font size=2>

)<br>

> DotRiver, membre du consortium "nuage-France" ( </font></tt><a href=http://bit.ly/LNIfMr><tt><font size=2>http://bit.ly/LNIfMr</font></tt></a><tt><font size=2>

)<br>

> <br>

> Pas à pas, agissons au quotidien pour préserver notre environnement.<br>

> N'imprimez que si nécessaire, réduisez les déchets informatiques et

<br>

> économisez l'énergie en utilisant les solutions DotRiver.<br>

> <br>

> <br>

</font></tt>