Názory k článku
lshell: bezpečný shell pro vaše uživatele

Nie je treba sa zamysliet nad editorom VIM? Nie je to ako keby ste povolili vsetko? Uzivatel si odtial lahko spusti napr bash (:!bash).

Presne tak. Je prakticky nemozne ohlidat vsechno. Osobne zadnejm omezenejm shellum neverim. Jedine kdyz se udela bezpecny jail pomoci chrootu (to neni uplne snadne), SE Linuxu nebo AppArmoru (ted mi pripada docela snadno nakonfigurovatelny a bezpecny, ale neni vsude k dispozici). Zajimava je taky moznost sshd chrootu v kombinaci s internal-sftp, coz je docela prijemna nahrada scponly, bohuzel chroot musi patrit rootovi, takze zbytecne mame vzdycky adresar navic ve kterem teprve je adresar naseho uzivatele a to neni uplne prijemne kvuli jinym sluzbam atd...

Ako spomínaš, nie je vhodné povoliť v obmedzenom prístupe vi/vim. Pre tieto prípady existujú príkazy rvi/rvim, ktoré sú vlastne klasické vi/vim, ale neumožňujú spustiť shell.
@p. Štrauch, nemohli by ste upraviť článok a uviesť tam upozornenie na použitie vi?

A zkouseli jste si to spustit? Osobne jsem si to take myslel, ale i timto zpusobem to vyhodi problem. Dokonce kdyz si povolim mc, tak sice muzu brouzdat, kde chci, ale spustene prikazy to porad hlida...

Nerikam, ze se mi toto reseni moc libi, osobne si myslim, ze se ochrana bude dat obejit, ale na druhou stranu bych netvrdil neco, co nemam vyzkousene....

Achjo. A zkouseli jste v tom vimu

:set shell=/bin/bash

?

No sveho casu jsem delal na OS, kde byl nejaky restriktivni shell, obesel jsem to tak, ze jsem si pustil pine, jako alt. editor jsem dal /bin/bash ... no a pak skratka pro tento editor a byl jsem v OS ... treba jsem si to pustil pres Xterminal na svojem linuxu xterm s bashem ... a bylo ;-)

Vzhladom na to, ze kazdy druhy unixovy prikaz dokaze spustat podproces podla uzivatelskej vole (dokonca aj z GNU sedu sa da spustit cokolvek), tak strazit nieco lshellom mi pride ako "chytat vietor v poli".

escape z more a ed je taky dobry, jooo nasi security specialisti cumeli kdyz jsme jim to rekli :DDDD

Mohl byste take prozradit sve reseni? :). Nechce se mi verit, ze by to slo tak jednoduse :).

Tak si prectete manualovou stranku k more

Co tak skusit JailKit?

Ten eval a popen je boží.

[lshell] povolenyprikaz os.execl('/bin/bash')
[bash]

Mohl byste to prosim upresnit? Nejak nevim jak jste prisel na "os.execl('/bin/bas­h')".

Není chyba v článku, nebo formátování písmen?
Chvilku se shell jmenuje IShell, chvilku zase LShell

Jinak pěkný článek, díky za tip ;)

co tak maly modul do kernelu ktory by riesil restrict podla uid (napr. vyssom ako 2000). Kontroloval exec a co by nebolo v safe adresari, to by spustit neumoznil. Potom by bolo mozne povolit rovno aj bash.

Na sprístupnenie samotného scp/sftp bez možnosti pracovať interaktívne nastavujem užívateľom ako shell scponly.