Bloquear rsh e telnet por grupo de usuário

giovanniscp
(usa Fedora)

Enviado em 27/09/2011 - 16:28h

Senhores boa tarde, depois de muito tempo pesquisando na internet ainda não consegui achar um meio de bloquear o rsh e telnet por grupo de usuário, estou utilizando o xinetd e na configuração está assim:

service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = no
}

Só que não vi nenhum meio de bloquear por grupo de usuário.

Alguém pode mi ajudar ?

Obrigado.

tonnytg
(usa Outra)

Enviado em 27/09/2011 - 16:39h

Ainda não tenho idéia de como te ajudar, mas me tira essa duvida ?
Como sabe que está liberado para todos ?

giovanniscp
(usa Fedora)

Enviado em 27/09/2011 - 16:57h

instalei o telnet, os usuários teste que criei todos acessam testei com o comando telnet localhost, todos passaram, esses usuarios teste estao em um grupo chamado grptest. o meu problema é bloquear tanto telnet como rsh por grupo.

tonnytg
(usa Outra)

Enviado em 27/09/2011 - 18:04h

Bom primeiro vamos lá, vo tentar te ajudar mas não tenho muita experiencia com isso, então é capaz de falar besteira.

logado em um terminal com o usuário que você NÃO quer ter acesso ao telnet por exemplo, digite o comando

# id  

Ele vai informar a quais grupos o usuario pertence, copie e cole aqui o resultado.

Editando: Já falei besteira, não precisa tar logado no usuario, basta digitar:

 # id usuario  

Que vai te informar os grupos que ele pertence

tonnytg
(usa Outra)

Enviado em 27/09/2011 - 18:25h

Nossa hehe consegui um resultado satisfatorio aqui, não sei se vai servir para você.
Bom vamos lá, eu fiz o seguinte:

Criar o grupo para acesso ao comando.

$ groupadd telnetgroup  

Depois vamos adicionar os usuarios ao grupo

$ useradd -G telnetgroup maria  

Vamos trocar o GRUPO responsável do comando que você quer

$ chown root:telnetgroup /usr/bin/telnetd  

Agora vamos dar permissão somente para o root e o owner executar.

$ chmod 750 /usr/bin/telnet  

Você pode verificar usando o comando:

$ ls -l /usr/bin/telnet  

Com isso só o grupo telnetgroup e root teram acesso aqui funcionou, testa ai.

tonnytg
(usa Outra)

Enviado em 27/09/2011 - 18:39h

Pronto resposta formulada, aguardo retorno =D
Para o rsh basta fazer a mesma coisa, pode criar um grupo só pro rsh ou adicionar o comando rsh com a etapa chown root:telnetgroup...

giovanniscp
(usa Fedora)

Enviado em 27/09/2011 - 18:47h

A solução é mto boa, porém imagina uma situação, administro cerca de 70 servidores linux, a grande maioria, alem de ter usuário root, oracle e alguns usuários de serviços, tem dezenas de usuários operacionais de sistemas implantados. Pelo que entendi, o grupo que terá acesso ao telnet eh o grupo telnet, porém acho que seria menos trabalhoso bloquear os poucos usuários que preciso doque liberar inúmeros usuários dessa forma, eu teria que adicionar o grupo em cada usuário(muitos usuários mesmo). Testei aqui e funcionou também, mas creio que essa solução não será aprovada aqui na empresa.

tonnytg
(usa Outra)

Enviado em 27/09/2011 - 20:00h

Quando você cria um usuário, você é obrigado a definir o grupo que ele pertence.
Logo se o servidor tiver um grupo chamado "acesso_externo", você já o adiciona para ter acesso ao telnet e o rsh.
Agora sobre as 70 maquinas de qualquer jeito que for postada uma resposta aqui, você vai ter que fazer 70 vezes.
Agora criar em um e funcionar em todos acredito que não tenha a não ser que exista algum comando do tipo do "puppet" para automação.