PowerStore: Zrozumienie ograniczeń powłoki wprowadzonych przez rbash i innych implementacji zabezpieczeń

Możliwe błędy zaobserwowane po zastosowaniu tych środków:

• rbash: cd: restricted (podczas próby poruszania się po katalogach)
• rbash: xxxx: restricted: cannot redirect output (podczas próby przekierowania danych wyjściowych do pliku z użyciem „>”)
• rbash: xxxx: command not found (podczas próby uruchomienia poleceń spoza listy dozwolonych)
• rbash: ./example_script: restricted: cannot specify `/' in command names (podczas próby uruchomienia skryptów)
• Nie można zainicjować protokołu SFTP. Czy host posiada serwer SFTP? (podczas próby skonfigurowania narzędzi do przesyłania plików, takich jak WinSCP)
• Polecenie cd "xxxx" nie powiodło się z kodem zwrotnym 1 i komunikatem o błędzie. -rbash: line 47: cd: restricted (podczas próby zmiany katalogów przy użyciu WinSCP)

Wdrożenie rbash oznacza, że zachowanie powłoki jest zmieniane przez wyłączenie niektórych działań i funkcji, takich jak:

• Zmiana katalogów przy użyciu wbudowanej funkcji cd.
• Ustawianie lub resetowanie wartości zmiennych SHELL, PATH, ENV lub BASH_ENV.
• Określanie nazw poleceń zawierających ukośniki.
• Określanie nazwy pliku zawierającej ukośnik jako argument do wbudowanego polecenia . .
• Określanie nazwy pliku zawierającej ukośnik jako argument do opcji -p do wbudowanego polecenia hash.
• Importowanie definicji funkcji ze środowiska powłoki podczas uruchamiania.
• Analizowanie wartości SHELLOPTS ze środowiska powłoki przy uruchamianiu.
• Przekierowanie danych wyjściowych za pomocą operatorów przekierowywania „>”, „>|”, „<>”, „>&”, „&>” i „>>”.
• Użycie wbudowanej funkcji exec do zastąpienia powłoki innym poleceniem.
• Dodawanie lub usuwanie wbudowanych poleceń przy użyciu opcji -f i -d do wbudowanej funkcji enable.
• Używanie wbudowanego polecenia enable do włączania wyłączonych wbudowanych funkcji powłoki.
• Określanie opcji -p do wbudowanego polecenia.
• Wyłączanie trybu ograniczonego za pomocą poleceń „set +r” lub „set +o restricted”.

Więcej informacji znajdziesz tutaj:
https://www.gnu.org/software/bash/manual/html_node/The-Restricted-Shell.html 

Poniżej przedstawiono kilka rozwiązań alternatywnych, które ułatwiają nawigację i interakcję z systemem pomimo ograniczeń opisanych powyżej.

Przesyłanie plików 

Podczas konfigurowania narzędzi do przesyłania plików, takich jak WinSCP, należy używać protokołu SCP zamiast protokołu SFTP lub FTP.   

Pamiętaj:
Użytkownicy nie mogą zmieniać katalogów (funkcja cd nie jest dozwolona), dlatego wszystkie elementy, które należy pobrać z węzła lub urządzenia, należy najpierw skopiować do katalogu /home/service/user.
Jedynym wyjątkiem od tej czynności są zwykłe materiały wsparcia technicznego. Łącza są automatycznie umieszczane w katalogu głównym dla każdego dostępnego zestawu materiałów wsparcia technicznego w celu ułatwienia pobierania.

Jeśli chcesz pobrać pliki bezpośrednio z katalogu, w którym się znajdują, należy najpierw znaleźć pełną ścieżkę z powłoki PowerStore, a następnie użyć narzędzi takich jak pscp (z wiersza poleceń systemu Windows) lub scp (z systemu Linux).
Przykład pscp w systemie Windows:

Składnia:

Usage: pscp [options] [user@]host:source target pscp [options] source [source...] [user@]host:target

Uwaga: w niektórych nowych wersjach systemu Windows 10 może być konieczne określenie portu (-P 22).

Przykład pobierania:

pscp -scp -P 22 service@<adres IP urządzenia lub węzła>:/ścieżka/do/pobranego/pliku C:\Local\dowwnload-save\location pscp -scp service@xx.xx.xx.xx:/cyc_var/cyc_service/data_collection/xxxxxxxx/powerstore_xxxxxxxx_2020-05-06_00-00-00_service-data.tgz C:\LOGS service@xx.xx.xx.xx's password: powerstore_xxxxxxxxx | 10944 kB | x.x kB/s | ETA: 00:00:00 | 100%

Przykład wysyłania:

pscp -scp -P 22 C:\Logs\somefile.txt service@xx.xx.xx.xx:/home/service/user service@xx.xx.xx.xx's password: somefile.txt           | 211 kB | 212.0 kB/s | ETA: 00:00:00 | 100%

 

Nawigacja