PowerStore: rbashin ja muiden tietoturvan käyttöönottojen aiheuttamat komentotulkin rajoitukset

Näiden toimenpiteiden seurauksena havaittuja mahdollisia virheitä:

• rbash: cd: restricted (kun hakemistoja yritetään selata)
• rbash: xxxx: restricted: cannot redirect output (kun tuloksia yritetään uudelleenohjata tiedostoon, jossa on >-merkki)
• rbash: xxxx: command not found (kun yritetään suorittaa komentoja, jotka eivät kuulu hyväksyttyjen sallittujen luetteloon)
• rbash: ./example_script: restricted: cannot specify `/' in command names (kun komentosarjoja yritetään suorittaa)
• SFTP-protokollaa ei voi alustaa. Käyttääkö isäntä SFTP-palvelinta? (kun tiedostonsiirtotyökaluja, kuten WinSCP:tä, yritetään määrittää)
• Komento "cd ’xxxx’" epäonnistui antaen palautuskoodin 1 ja virheilmoituksen. -rbash: rivi 47: cd: rajoitettu (kun hakemistoja yritetään vaihtaa WinSCP:n avulla)

Rbashin toteuttaminen tarkoittaa, että komentotulkin toimintaa muutetaan poistamalla käytöstä joitakin toimintoja ja ominaisuuksia, kuten:

• hakemistojen vaihtaminen komentotulkin sisäisen cd-komennon avulla
• SHELL-, PATH-, ENV- tai BASH_ENV-muuttujien arvojen määrittäminen tai nollaaminen
• vinoviivoja sisältävien komentojen nimien määrittäminen
• komentotulkin sisäisen . -komennon argumenttina käytettävän vinoviivan sisältämän tiedostonimen määrittäminen
• komentotulkin sisäisen hash-komennon -p-valitsimen argumenttina käytettävän vinoviivan sisältämän tiedostonimen määrittäminen
• toimintomääritysten tuominen komentotulkkiympäristöstä käynnistyksen yhteydessä
• SHELLOPTS-arvon jäsentäminen komentotulkkiympäristöstä käynnistyksen yhteydessä
• tulosteen uudelleenohjaus käyttämällä >-, >|-, <>-, >-, &>- ja >>-uudelleenohjausoperaattoreita
• komentotulkin sisäisen exec-komennon käyttäminen komentotulkin korvaamiseen toisella komennolla
• komentotulkin sisäisten komentojen lisääminen tai poistaminen enable-komennon sisäisillä -f- ja -d-valitsimilla
• käytöstä poistettujen komentotulkin sisäisten komentojen ottaminen käyttöön komentotulkin sisäisellä enable-komennolla
• komentotulkin sisäisen komennon -p-valitsimen määrittäminen
• rajoitetun tilan poistaminen käytöstä set +r- tai set +o restricted -komennolla.

Lisätietoja:
https://www.gnu.org/software/bash/manual/html_node/The-Restricted-Shell.html 

Tässä esitellään muutamia vaihtoehtoja, jotka helpottavat navigointia ja järjestelmän kanssa toimimista edellä kuvatuista rajoituksista huolimatta.

Tiedostojen siirto 

Käytä SCP:tä SFTP- tai FTP-protokollan sijasta, kun määrität tiedostonsiirtotyökaluja, kuten WinSCP:tä.   

Muista, että
käyttäjät eivät voi vaihtaa hakemistoja (cd ei ole sallittu), joten solmusta tai laitteesta ladattavat tiedostot on kopioitava ensin kansioon /home/service/user.
Ainoan poikkeuksen tähän muodostavat normaalit tukimateriaalit. Lataamisen helpottamiseksi kunkin saatavilla olevan tukimateriaalijoukon linkit lisätään kotihakemistoon automaattisesti.

Jos haluat ladata tiedostot suoraan hakemistosta, jossa ne ovat, sinun on ensin löydettävä koko polku PowerStore-komentotulkista, minkä jälkeen voit käyttää esimerkiksi pscp-työkaluja (windows cli) tai scp:tä (linux).
Windowsin pscp-esimerkki:

Syntaksi:

Käyttö: pscp [options] [user@]host:source target pscp [options] source [source...] [user@]host:target

Huomautus: joissakin uusissa Windows 10 -versioissa voidaan joutua määrittämään portti (-P 22).

Latausesimerkki:

pscp -scp -P 22 service@<appliance or node IP>:/path/to/file/to/download C:\Local\dowwnload-save\location pscp -scp service@xx.xx.xx.xx:/cyc_var/cyc_service/data_collection/xxxxxxxx/powerstore_xxxxxxxx_2020-05-06_00-00-00_service-data.tgz C:\LOGS service@xx.xx.xx.xx's password: powerstore_xxxxxxxxx | 10944 kB | x.x kB/s | ETA: 00:00:00 | 100%

Lähetysesimerkki:

pscp -scp -P 22 C:\Logs\somefile.txt service@xx.xx.xx.xx:/home/service/user service@xx.xx.xx.xx's password: somefile.txt           | 211 kB | 212.0 kB/s | ETA: 00:00:00 | 100%

 

Navigointi