On Thursday 18 April 2002 14:00, Florin wrote: > Stai asa un pic, poate nu am inteles io bine. Omu' a dorit sa puna noexec > PT UN SINGUR USER. Acuma.. se pare ca avem o problema: ce intelege el prin > noexec ? :). Daca pui un noexec sa zicem pe /home (la un sistem > partitionat ca atare) (l)userii nu au voie sa execute DECIT ce e in > /usr/bin, si altele de genu. Programe compilate de ei.. cam pauza.
gcc -o /tmp/mumu mumu.cpp > Si in al doilea rind.. cum sa ajunga un program compilat de un user normal > in /bin de exemplu ? Asta denota ca sistemu' e configurat prost :), si nu > se tine cont de reguli de securitate elementare. > > Daca vrei sa restrictionezi un user sa aiba drept la pine, i-ai pus shell > pine si te rogi sa nu se prinda cum se scoate un bash din pine :). Eu zic ca-i mai bine sa-i pui shell bash si sa te rogi sa nu-ti sparga porcaria... Parerea mea :> > Sau ii pui shell /bin/false si-l trimiti sa-si citeasca posta cu outlook > sau altele de genu'. > Noexec din punctul asta de vedere.. nu e tare, e cel mai bun. Iar cu > nosuid... nu prea mai vad rostul sa-l puna pe acolo. Asta depinde... noexec pe o partitie e total nefolositor imho, daca discuti care stie intr-adevar ce sa faca... (PROT_READ cu MAP_FILE si apoi copiere in alta zona PROT_EXEC). Sg. solutie este tratarea SYS_mmap si SYS_exec (daca te mai pasioneaza chestia vezi un exemplu inca beta la http://freshmeat.net/projects/execdeny/?topic_id=43 ). -- Mihai Chelaru http://www.netbsd.ro/ --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
