Tenemos un entorno donde nuestros usuarios ingresan por ssh al sistema y su shell está configurado para simplemente iniciar Mutt en su $HOME/Maildir. Queremos restringir a nuestros usuarios para que solo puedan enviar/recibir correo. Nos damos cuenta de que no pueden ejecutar comandos arbitrarios ya que no tienen un indicador de shell, pero es posible que algunos usuarios no sean de confianza y encuentren alguna manera de salir de Mutt y obtener acceso al shell mediante la ejecución de código. Básicamente estamos pensando en el peor de los casos. Conocemos las cuentas SELinux y guest_u, pero encontramos una solución mejor. Dado que todos nuestros usuarios son parte de un grupo, digamos "usuarios", podemos usar la siguiente regla de iptables para deshabilitar los paquetes salientes. ping, dig, wget, etc. no funcionan, pero el envío de correo saliente sí. Esto es exactamente lo que queremos, pero ¿por qué a los usuarios se les permite cualquier acceso saliente a través de Mutt si se les impide utilizar otras herramientas como excavación, host, ping, etc.?
Aquí está la regla que agregamos:
$IPT -A OUTPUT -p all -m owner --gid-owner users -j DROP
Respuesta1
Mientras los usuarios sólo utilicen Mutt para acceder a la carpeta Maildir local y enviar correo utilizando el servidor de correo, no se comunicarán con el mundo exterior.
Sin embargo, Mutt permite ejecutar comandos de shell. Es posible que desee cambiar el shell predeterminado, por ejemplo, a rbash, o utilizar un entorno chroot, para limitar aún más lo que los usuarios pueden intentar hacer. El cambio del shell predeterminado se realiza con
shell /local/bin/rbash
en /etc/Muttrc.