PowerStore: Inzicht in shellbeperkingen als gevolg van rbash- en andere beveiligingsimplementaties

Mogelijke fouten waargenomen als gevolg van deze maatregelen:

• rbash: cd: restricted (wanneer u door de mappen probeert te navigeren)
• rbash: xxxx: restricted: cannot redirect output (bij het omleiden van uitvoer naar een bestand met ">")
• rbash: xxxx: command not found (wanneer u opdrachten probeert uit te voeren die niet in de goedgekeurde lijst staan)
• rbash: ./example_script: restricted: cannot specify `/' in command names (bij het uitvoeren van scripts)
• Kan het SFTP-protocol niet initialiseren. Wordt op de host een SFTP-server uitgevoerd? (bij het instellen van hulpprogramma's voor bestandsoverdracht, zoals WinSCP)
• Opdracht 'cd "xxxx"’ mislukt met retourcode 1 en foutmelding. -rbash: line 47: cd: restricted (bij het wijzigen van mappen met WinSCP)

rbash-implementatie betekent dat het gedrag van de shell wordt gewijzigd door bepaalde acties en functies uit te schakelen, waaronder:

• Mappen wijzigen met de ingebouwde cd-opdracht.
• De waarden van de SHELL, PATH, ENV of BASH_ENV variabelen instellen of opheffen.
• Opdrachtnamen opgeven met schuine strepen.
• Een bestandsnaam met een schuine streep opgeven als argument voor de ingebouwde . opdracht.
• Een bestandsnaam met een schuine streep opgeven als argument voor de optie -p voor de ingebouwde hash-opdracht.
• Functiedefinities importeren uit de shell-omgeving bij het opstarten.
• Parsing van de waarde van SHELLOPTS uit de shell-omgeving bij het opstarten.
• Uitvoer omleiden met behulp van de operatoren ‘>’, ‘>|’, ‘<>’, ‘>&’, ‘&>’ en ‘>>’.
• De ‘exec builtin’ gebruiken om de shell te vervangen door een andere opdracht.
• Ingebouwde opdrachten toevoegen of verwijderen met de opties -f en -d voor de ‘enable builtin'.
• Met behulp van de opdracht ‘enable builtin’ kunt u uitgeschakelde shell builtins inschakelen.
• De optie -p opgeven voor de ingebouwde opdracht.
• De beperkte modus uitschakelen met 'set +r' of 'set +o restricted'.

Zie hier voor meer informatie:
https://www.gnu.org/software/bash/manual/html_node/The-Restricted-Shell.html 

Hier worden enkele alternatieven gepresenteerd om de navigatie en interactie met het systeem eenvoudiger te maken, ondanks de beperkingen die hierboven worden beschreven.

Bestandsoverdrachten 

Gebruik SCP in plaats van het SFTP- of FTP-protocol bij het instellen van hulpprogramma's voor bestandsoverdracht, zoals WinSCP.   

Onthoud:
Gebruikers kunnen geen mappen wijzigen (cd is niet toegestaan), dus alles dat vanaf het knooppunt of apparaat moet worden gedownload, moet eerst worden gekopieerd naar /home/service/user.
De enige uitzondering hierop is het normale supportmateriaal. Koppelingen worden automatisch in de homedirectory geplaatst voor elke beschikbare set supportmateriaal om downloads te vergemakkelijken.

Als u bestanden rechtstreeks wilt downloaden vanuit de map waarin ze zich bevinden, moet u eerst het volledige pad vinden vanuit de PowerStore shell, dan kunt u tools gebruiken zoals PSCP (vanuit Windows CLI) of SCP (vanuit Linux).
Voorbeeld van Windows PSCP:

Syntaxis:

Gebruik: pscp [options] [user@]host:source target pscp [options] source [source...] [user@]host:target

Opmerking: In sommige nieuwe versies van Windows 10 moet u mogelijk de poort (-P 22) opgeven.

Voorbeeld van downloaden:

pscp -scp -P 22 service@<appliance or node IP>:/path/to/file/to/download C:\Local\dowwnload-save\location pscp -scp service@xx.xx.xx.xx:/cyc_var/cyc_service/data_collection/xxxxxxxx/powerstore_xxxxxxxx_2020-05-06_00-00-00_service-data.tgz C:\LOGS service@xx.xx.xx.xx's password: powerstore_xxxxxxxxx | 10944 kB | x.x kB/s | ETA: 00:00:00 | 100%

Voorbeeld van uploaden:

pscp -scp -P 22 C:\Logs\somefile.txt service@xx.xx.xx.xx:/home/service/user service@xx.xx.xx.xx's password: somefile.txt           | 211 kB | 212.0 kB/s | ETA: 00:00:00 | 100%

 

Navigatie