Twitter Timeline
- RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 month ago
- Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 month ago
- RT @slith76: Vim: revisited http://t.co/GIdKrKMz2 months ago
- So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon2 months ago
- FreeBSD Buchverlosung: http://t.co/a9t1MZO02 months ago
- RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G3 months ago
- Neu im Blog: US-Proxy für YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp3 months ago
- Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI3 months ago
- Shortcuts zur iPhone Prefpane ... nicht ganz so gut wie mit Jailbreak, aber immerhin. http://t.co/TFyZypE13 months ago
- RT @Linux: Fedora 16 "Verne" released! http://t.co/vX7A5Gar #Fedora #Linux3 months ago
- Neu im Blog: Schutz bei (D)DOS Angriffen mit Iptables http://t.co/vDeOdt2w3 months ago
- RT @nbbilliger: Mozilla Firefox 8.0 erschienen http://t.co/Ecn6h1Mp3 months ago
- Fazit nach 2 Tagen iPhone4s: Nett, aber kein Muss, wenn man da 4er hat. Siri ist recht nutzlos atm, Kamera besser. Akku 1:1 bisher. ^rk3 months ago
- Das Nginx-Modul "nginx-sticky-module" erfolgeich getestet und im Einsatz. Blogpost folgt bei Gelegenheit :) http://t.co/G1xBhuWX3 months ago
- Mehrere Kollegen wurden für das Blog begeistert, mal sehen ob gute Artikel folgen ^^ (rk)3 months ago
- Willkommen in der Encoding-Hell: U+C4?U+E4, U+D6?U+F6, U+DC?U+FC, U+DF, U+E4, U+F6, U+FC #german #umlauts3 months ago
- Neu im Blog: Top of the Tops http://t.co/DPx5TreY3 months ago
- Danke, gerne :-) RT @admn_blog_com: Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- RT @Linux: Ubuntu 11.10 "Oneiric Ocelot" released! #Ubuntu #Linux4 months ago
- Info: Der calendarserver unter Debian Lenny ist inkompatibel mit iOS5. Unter Squeeze hingegen keine Probleme.4 months ago
- Das sind schon ein paar Cores ;-) http://lockerz.com/s/1152337948 months ago
- Nettes Nagios-Monitoring-Tool für das iPhone: NagiMon. Hat allerdings Probleme mit Leerzeichen als Services. http://lockerz.com/s/1131691968 months ago
- JavaScript PC-Emu bootet Linux: http://bit.ly/iygoXG9 months ago
- RT @boeserseo: Mit die beste "How To" Absicherung für Linux Server die ich je gesehen habe! #NSA -> http://klick.es/2z9 months ago
< Google Wave: Noch nicht auf meiner Wellenlänge | [Tipps und Tricks] Server sicher über ssh herunterfahren >
Saturday, 10. October 2009
[Tipps und Tricks] erweiterte geteilte Screen Sessions
Beim meinem letzten Post war ich ja auch auf das Thema geteilte Screen Session gekommen, in dem ich erklärt habe wie man via screen und einigen Optionen, wunderbar mit mehreren root-Nutzern zusammen in einer Screen Session arbeiten kann. Da Screen aber auch in der Lage ist, mit mehreren unterschiedlichen Nutzern eine geteilte Session zu machen, möchte ich euch dies anhand eines kleinen Beispiels erklären.
Mein Beispiel ist aus meinem Alltag gegriffen, in dem es immer mal wieder vorkommt, dass ein Kunde zum Beispiel eine Applikation installiert haben möchte, diese aber unter dem root Nutzer installiert werden muss. Dann empfiehlt sich einfach eine geteilte Screen Session zu machen, in der der normale Nutzer auf meinen root Screen einen lesenden Zugriff erhält und mich durch die Installation des Programmes leiten kann, ohne aber selbst mit meinen Rechten irgend etwas ausführen zu können. Ich kann mir auch vorstellen das dies zu Schulungszwecken sehr hilfreich sein kann, zum Beispiel um eine Konfiguration oder Installation erklären zu können.
Die erste Aktion, die ausgeführt werden muss, ist dem screen Programm, welches meist unter /usr/bin/screen liegt, setuid Rechte zu geben. Diese werden benötigt um im Multinutzer Betrieb von Screen Dateien zu öffnen, die sonst nur von root gelesen werden können.
Bitte beachtet aber, dass Programme die mit setuid Bit laufen und dem Nutzer root gehören, alles auf dem System machen können. D.h. sollte das Programm eine Schwachstelle haben (BufferOverflows etc. pp.), kann dadurch das System komprimitiert werden.
Deswegen solltet Ihr nach der Session dem Programm Screen das setuid Bit wieder entfernen.
Um das setuid Bit zu setzen, führt Ihr als root Nutzer folgenden Befehl aus:
Nach dem die Optionen erfolgreich gesetzt wurden, kann sich der Nutzer mit dem folgendem Befehl anmelden:
Und schon kann man mit der Schulung, Installationen oder sonstigem beginnen. Wenn Ihr fertig mit eurem vorhaben seid, könnt Ihr die Berechtigungen des normalen Nutzers, ganz eichfach, via
Das Beispiel wurde auf einem Ubuntu 8.04 LTS erstellt. Bitte bedenkt das sich das unter Redhat/CentOS/MacOSX ein wenig anders darstellen kann (je nach Screen Version). Als Hilfe empfehlen sich immer die dazugehörigen man pages von screen. Und jetzt viel Spaß beim ausprobieren!
Mein Beispiel ist aus meinem Alltag gegriffen, in dem es immer mal wieder vorkommt, dass ein Kunde zum Beispiel eine Applikation installiert haben möchte, diese aber unter dem root Nutzer installiert werden muss. Dann empfiehlt sich einfach eine geteilte Screen Session zu machen, in der der normale Nutzer auf meinen root Screen einen lesenden Zugriff erhält und mich durch die Installation des Programmes leiten kann, ohne aber selbst mit meinen Rechten irgend etwas ausführen zu können. Ich kann mir auch vorstellen das dies zu Schulungszwecken sehr hilfreich sein kann, zum Beispiel um eine Konfiguration oder Installation erklären zu können.
Die erste Aktion, die ausgeführt werden muss, ist dem screen Programm, welches meist unter /usr/bin/screen liegt, setuid Rechte zu geben. Diese werden benötigt um im Multinutzer Betrieb von Screen Dateien zu öffnen, die sonst nur von root gelesen werden können.
Bitte beachtet aber, dass Programme die mit setuid Bit laufen und dem Nutzer root gehören, alles auf dem System machen können. D.h. sollte das Programm eine Schwachstelle haben (BufferOverflows etc. pp.), kann dadurch das System komprimitiert werden.Deswegen solltet Ihr nach der Session dem Programm Screen das setuid Bit wieder entfernen.
Um das setuid Bit zu setzen, führt Ihr als root Nutzer folgenden Befehl aus:
chmod u+s /usr/bin/screenDanach läuft Screen als setuid Programm. Um das setuid Bit nach der Screen Session wieder zu entfernen, führt Ihr wieder als root Nutzer folgenden Befehl aus:
chmod u-s /usr/bin/screenNach dem setzen der Rechte könnt Ihr, wie schon im letzten Artikle beschrieben, eine Screen Session mit eigenem Namen als root Nutzer aufrufen:
screen -S root_lese_sessionNachdem Ihr diese erstellt habt, müssen ein paar Optionen gesetzt werden, sodass ein normaler Nutzer lesenden Zugriff auf den Screen erhält. Dazu führt Ihr die folgenden Kommandos im Screen aus:
(strg+a) + :multiuser onDie Kommandos haben dabei folgende Bedeutung:
(strg+a) + :acladd nutzername
(strg+a) + :aclchg nutzername -rwx "#?"
(strg+a) + :aclchg nutzername +rx "0,detach"
- (strg+a) + :multiuser on schaltet den Multinutzer Betrieb ein
- (strg+a) + :acladd nutzername fügt den Nutzer nutzername (also z.B. hans) der Zugriffsdatenbank von Screen hinzu, nachdem dieses Kommando ausgeführt wurde, hat der Nutzer alle Rechte in dieser Screen Session
- (strg+a) + :aclchg nutzername -rwx "#?" entfernt die Leserechte (-r), die Schreibrechte (-w) und die Screenkommando Rechte (-x) für alle offenen Screens und Kommandos in dieser Session ("#?")
- (strg+a) + :aclchg nutzername +rx "0,detach" fügt für den Nutzer auf Screen 0 die Lese- und Ausführrechte wieder hinzu, somit kann der Nutzer Screen 0 lesen und sich von diesem wieder abmelden ((strg+a)+(strg+d))
Nach dem die Optionen erfolgreich gesetzt wurden, kann sich der Nutzer mit dem folgendem Befehl anmelden:
screen -x root/root_lese_sessionUnd jetzt kann die freudige Session beginnen. Bei jedem Tastendruck leuchtet der Screen kurz weiß auf, sodass man als root Nutzer merkt wenn der normale Nutzer hätte etwas eingeben wollen. Das einzige was der normale Nutzer jetzt noch darf, ist sich vom Screen via (strg+a)+(strg+d) abzumelden.
Und schon kann man mit der Schulung, Installationen oder sonstigem beginnen. Wenn Ihr fertig mit eurem vorhaben seid, könnt Ihr die Berechtigungen des normalen Nutzers, ganz eichfach, via
(strg+a) + :acldel nutzernamewieder löschen.
Das Beispiel wurde auf einem Ubuntu 8.04 LTS erstellt. Bitte bedenkt das sich das unter Redhat/CentOS/MacOSX ein wenig anders darstellen kann (je nach Screen Version). Als Hilfe empfehlen sich immer die dazugehörigen man pages von screen. Und jetzt viel Spaß beim ausprobieren!
powered by
Suche
Kommentare
04.01.12 20:34
Hallo Freunde,
Da ich genau das gleiche Pr [...]
12.12.11 02:46
Hi, ich habe seit einem halben Jahr das Acer [...]
07.12.11 10:03
Ich bin gestern auf Ultrasurf (http://ultras [...]
29.11.11 17:24
Versuchs mal mit Proxys von hidemyass.com - [...]
24.11.11 09:13
Habe den Server nun wieder gekündigt. War wo [...]
16.11.11 19:13
In der USA sind leider manchmal auch ein paa [...]
16.11.11 17:27
Nette Sache, war der Speed in Ordnung? Der P [...]
16.11.11 17:24
Ich habe für den Zweck ein SSH-basierten Pro [...]
16.11.11 17:04
Ja, außerdem sollte es doch dann mit Tinypro [...]
16.11.11 17:03
In der squid.conf den Parameter
forwarded [...]
[Tipps und Tricks] erweiterte geteilte Screen Sessions http://ff.im/-9G8Ce
Aufgenommen: Oct 12, 16:23