> >Poti sa aplici kestia asta si cu /home (sau /tmp) si ii lasi se se bata pe
> >toti cap in cap, cel putin cind e vorba de spatiu.
> >
> Asta ar fi o idee tare buna daca majoritatea programelor executate si
> le-ar tine oamenii prin conturi. Din pacate, alea se tin prin /bin,
> /usr/bin, /usr/local/bin, deci.. apa de ploaie. Ce s-ar putea retine
> eventual din ideea ta este sa se monteze /home cu quota si nosuid
> (noexec cred ca e prea tare, desi ar putea fi util uneori).
Stai asa un pic, poate nu am inteles io bine. Omu' a dorit sa puna noexec
PT UN SINGUR USER. Acuma.. se pare ca avem o problema: ce intelege el prin
noexec ? :). Daca pui un noexec sa zicem pe /home (la un sistem
partitionat ca atare) (l)userii nu au voie sa execute DECIT ce e in
/usr/bin, si altele de genu. Programe compilate de ei.. cam pauza.
Si in al doilea rind.. cum sa ajunga un program compilat de un user normal
in /bin de exemplu ? Asta denota ca sistemu' e configurat prost :), si nu
se tine cont de reguli de securitate elementare.
Daca vrei sa restrictionezi un user sa aiba drept la pine, i-ai pus shell
pine si te rogi sa nu se prinda cum se scoate un bash din pine :).
Sau ii pui shell /bin/false si-l trimiti sa-si citeasca posta cu outlook
sau altele de genu'.
Noexec din punctul asta de vedere.. nu e tare, e cel mai bun. Iar cu
nosuid... nu prea mai vad rostul sa-l puna pe acolo.
-------------------------
Maria Florin *
SysAdm @ stnet.ro *
e-mail: [EMAIL PROTECTED] *
-------------------------
---
Pentru dezabonare, trimiteti mail la
[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
