PowerStore: Grundlegendes zu Shell-Einschränkungen aufgrund von rbash und anderen Sicherheitsimplementierungen

Mögliche Fehler, die aufgrund dieser Maßnahmen festgestellt wurden:

• rbash: cd: restricted (beim Versuch, durch die Verzeichnisse zu navigieren)
• rbash: xxxx: restricted: cannot redirect output (beim Versuch, mit „>“ Ausgaben in eine Datei umzuleiten)
• rbash: xxxx: command not found (beim Versuch, Befehle auszuführen, die nicht in der Liste der zulässigen Befehle enthalten sind)
• rbash: ./example_script: restricted: cannot specify `/' in command names (beim Versuch, Skripte auszuführen)
• SFTP-Protokoll kann nicht initialisiert werden. Wird auf dem Host ein SFTP-Server ausgeführt? (beim Versuch, Dateiübertragungstools wie WinSCP einzurichten)
• Der Befehl cd „xxxx“ ist mit Rückgabecode 1 und Fehlermeldung fehlgeschlagen. -rbash: Zeile 47: cd: eingeschränkt (beim Versuch, Verzeichnisse mit WinSCP zu ändern)

Die Implementierung von rbash bedeutet, dass das Shell-Verhalten anders ist, da einige Aktionen und Funktionen deaktiviert werden, darunter:

• Ändern von Verzeichnissen mit dem integrierten „cd“.
• Festlegen oder Zurücksetzen der Werte der Variablen SHELL, PATH, ENV und BASH_ENV.
• Angeben von Befehlsnamen mit Schrägstrichen.
• Angabe eines Dateinamens mit einem Schrägstrich als Argument für den integrierten Befehl „.“.
• Angabe eines Dateinamens mit einem Schrägstrich als Argument für die Option „-p“ für den integrierten Hash-Befehl.
• Importieren von Funktionsdefinitionen aus der Shell-Umgebung beim Start.
• Analysieren des Werts von SHELLOPTS aus der Shell-Umgebung beim Start.
• Umleiten der Ausgabe mit den Umleitungsoperatoren >, > |, <>, > &, &> und >>.
• Verwenden der integrierten Exec, um die Shell durch einen anderen Befehl zu ersetzen.
• Hinzufügen oder Löschen von integrierten Befehlen mit den Optionen „-f“ und „-d“ zum integrierten Aktivieren.
• Verwenden des Befehls „enable builtin“, um deaktivierte Shell-Build-ins zu aktivieren.
• Angabe der Option „-p“ für den integrierten Befehl.
• Deaktivieren des eingeschränkten Modus mit „set + r“ oder „set + o restricted“.

Weitere Informationen finden Sie hier:
https://www.gnu.org/software/bash/manual/html_node/The-Restricted-Shell.html 

Es gibt einige Alternativen, um die Navigation und Interaktion mit dem System trotz der oben beschriebenen Einschränkungen zu erleichtern.

Dateiübertragungen 

Verwenden Sie beim Einrichten von Dateiübertragungstools wie WinSCP SCP anstelle des SFTP- oder FTP-Protokolls.   

Denken Sie daran:
NutzerInnen können keine Verzeichnisse wechseln („cd“ ist nicht verfügbar), daher muss alles, was vom Node oder von der Appliance heruntergeladen werden soll, zuerst nach /home/service/user kopiert werden.
Die einzige Ausnahme hiervon sind die normalen Support-Materialien. Links werden automatisch im Stammverzeichnis für jeden verfügbaren Satz von Support-Materialien platziert, um den Download zu erleichtern.

Wenn Sie Dateien direkt aus dem Verzeichnis herunterladen möchten, in dem sie sich befinden, müssen Sie zuerst den vollständigen Pfad in der PowerStore-Shell suchen. Anschließend können Sie Tools wie PSCP (über Windows-CLI) oder SCP (in Linux) verwenden.
Windows-PSCP-Beispiel:

Syntax:

Verwendung: pscp [options] [user@]host:source target pscp [options] source [source...] [Nutzer@] Host:Ziel

Hinweis: Bei einigen neuen Versionen von Windows 10 müssen Sie möglicherweise den Port (-P 22) angeben.

Download-Beispiel:

pscp -scp -P 22 service@<Appliance- oder Node-IP>:/path/to/file/to/download C:\Local\dowwnload-save\location pscp -scp service@xx.xx.xx.xx:/cyc_var/cyc_service/data_collection/xxxxxxxx/powerstore_xxxxxxxx_2020-05-06_00-00-00_service-data.tgz C:\LOGS service@xx.xx.xx.xx's password: powerstore_xxxxxxxxx | 10944 kB | x.x kB/s | ETA: 00:00:00 | 100%

Upload-Beispiel:

pscp -scp -P 22 C:\Logs\somefile.txt service@xx.xx.xx.xx:/home/service/user service@xx.xx.xx.xx's password: somefile.txt           | 211 kB | 212.0 kB/s | ETA: 00:00:00 | 100%

 

Navigation