attention à ce type d'encapsulation où il y a une magnifique faille :-(
ssh user@serveur '`/bin/rm -rf /`'
va fonctionner parfaitement et conduire à une catastrophe. Enfin, catastrophe, c'est une question de user et de point de vue ;-) Le wrapper doit obligatoirement vérifier les chaînes sans qu'elles soient évaluées, c'est difficile à réaliser avec du shell.
Patrice
frsag-bounces@frsag.org a écrit sur 06/12/2010 09:23:11 :
> Salut,
>
> On Mon, Dec 06, 2010 at 12:03:07AM +0100, eldre8 wrote:
> >
> > un petit ajout, par rapport au dummy shell, cette ligne devrait
> > bypasser ton dummyshell ;)
> >
> > ssh toto /bin/bash (et en plus y a pas forcement de log wtmp ihih)
> > man sshd_config indique forcecommand,
>
> Bon point pour ForceCommand !
>
> Il est aussi possible de forcer la commande depuis le fichier
> "authorized_keys":
>
> command="/usr/bin/rsync --server" ssh-rsa
> AAAAB3NzaC1yc2EAAAABIwAAAQEAtmX4Jx8NGcCEiwEIQAcHKS1s+N9GLzca9Ffu4ItBEB/6jVTEoamnxnYt0WHQ0I+jpN3g/k2lF3MTncUjwrLorWSxPLI6giGTheT4vhLZQOVZV4O+GS0CETMKVsrclPLhHouW891QU84eHACuTh+KUvuhs3pV0EHYHnAVCIs8JuU03ZTNIIuuYFVf7P3BCIa8pnncUcy722ZB7qlWCjjjpBxLGr1/EyOTsZD76Kl8BBoiZDwXCgFzvKYe2NqhqRBb8bo0CP6QyyROxcgBLYtvBJurhMNQ7qTZJBF5DjeDQrCvCZsEwlffV5BFoQY5ISnZgkKC00Ww65y6+EwCZ9WvSw==
> wwwsync@wikileaks.org
>
>
> Pour information, s'il y avait plus d'une commande à autoriser (ou bien
> une liste d'argument qui peut changer), il faut nécessairement passer
> par un wrapper et implémenter les validations dont on a besoin. Voici
> un exemple qui n'autorise que "rsync --server" (pas testé cela dit) :
>
> % #!/bin/sh
> %
> % # Update to fit your setup. This one should suit almost anyone though.
> % PATH=/bin:/usr/bin:/usr/local/bin:/usr/pkg/bin
> %
> % RSYNC=$(which rsync) || exit 1
> %
> % set -f
> % set -- $SSH_ORIGINAL_COMMAND
> % set +f
> %
> % [ "x$1" = "x$RSYNC" ] || exit 1
> % [ "x$2" = "x--server" ] || exit 1
> %
> % exec "$@"
>
> --
> Jeremie Le Hen
>
> Humans are born free and equal. But some are more equal than others.
> Coluche
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
Accédez aux meilleurs tarifs Air France, gérez vos réservations et enregistrez-vous en ligne sur http://www.airfrance.com
Find best Air France fares, manage your reservations and check in online at http://www.airfrance.com
Les données et renseignements contenus dans ce message peuvent être de nature confidentielle et soumis au secret professionnel et sont destinés à l'usage exclusif du destinataire dont les coordonnées figurent ci-dessus. Si vous recevez cette communication par erreur, nous vous demandons de ne pas la copier, l'utiliser ou la divulguer. Nous vous prions de notifier cette erreur à l'expéditeur et d'effacer immédiatement cette communication de votre système. Société Air France - Société anonyme au capital de 1 901 231 625 euros - RCS Bobigny (France) 420 495 178 - 45, rue de Paris, 95 747 Roissy CDG CEDEX
The data and information contained in this message may be confidential and subject to professionnal secrecy and is intended for the exclusive use of the recipient at the address shown above. If you receive this message by mistake, we ask you not to copy, use or disclose it. Please notify this error to the sender immediately and delete this message from your system. Société Air France - Limited company with capital of 1,901,231,625 euros - Bobigny register of companies (France) 420 495 178 - 45, rue de Paris, 95 747 Roissy CDG CEDEX
Pensez à l'environnement avant d'imprimer ce message.
Think of the environment before printing this mail.