Viktor Vislobokov пишет:
Их так мало осталось... снимите с них suid, используйте sudo.
Я регулярно вижу этот совет и регулярно утираю слезу.
Ребята, если бы не нужен был suid'ный бит, его бы и не ставили.
Там тоже ведь не дураки сидят. Есть ряд программ, где он был
есть и будет.
Совет
А просто ext. attrib патча не хватит ?
Нет. xattr это не то. Оно необходимо для acl, но не то.
Я делал так:
- с сайта брал патчи для ядра и fileutils
- собирал библиотеки libattr и libacl
- с ними собирается fileutils также патченный
- далее становятся рабочими инструменты acl: getfacl и
Yuri Kozlov wrote:
Нашёл
apt-get install attr
Спасибо, буду пробовать.
Наверное, всё же apt-get install acl ? Но мне это решение не кажется
оптимальным. Советую поискать по ключевым словам restricted shell.
А просто ext. attrib патча не хватит ?
Имелось в виду, что управление
Yuri Kozlov пишет:
Вообще, под задачу мне больше подойдёт именно restricted shell.
Но на атрибутах, наверно, тоже можно сделать.
Можно, но не нужно: что помешает пользователю установить собственную
копию программы в домашнем каталоге? Программы-то свободно
распространяемые :)
acl только
Но на атрибутах, наверно, тоже можно сделать.
Можно, но для этого придётся менять права на всех выполняемых файлах. А
после установки новых пакетов или обновления страх придётся эту операцию
повторять.
Не так страшен чёрт...
С возможностью рекурсивного обхода каталогов можно за 5 минут
Но на атрибутах, наверно, тоже можно сделать.
Можно, но не нужно: что помешает пользователю установить собственную
копию программы в домашнем каталоге? Программы-то свободно
распространяемые :)
Каким образом, если запретить например cp, install и подобные проги?
А про suid'ые программы я
Viktor Vislobokov пишет:
нужно защищать информацию, а не средства ее обработки. Ценность
представляют
файлы данных, а не программы для работы с ними.
Я согласен с этим, если цель - именно защита данных, а не запуск
программ. Тогда chroot - это наилучшее решение проблем.
1. Запрет запуска
А про suid'ые программы я вообще молчу.
Их так мало осталось... снимите с них suid, используйте sudo.
Я регулярно вижу этот совет и регулярно утираю слезу.
Ребята, если бы не нужен был suid'ный бит, его бы и не ставили.
Там тоже ведь не дураки сидят. Есть ряд программ, где он был
есть
Можно ещё ACL настроить.
Yuri Kozlov wrote:
Здраствуйте.
Возникла задачка завести левых пользователей на сервере,
которые будут ходить через telnet.
Хочется ограничить список запускаемых ими программ.
Chroot делать не хочется.
Что ещё можно посмотреть ? selinux ?
--
С уважением, Виктор
Yuri Kozlov wrote:
А поподробней ?
man чего ?
On Tue, 01 Jun 2004 11:07:43 +0600
Viktor Vislobokov [EMAIL PROTECTED] wrote:
Можно ещё ACL настроить.
Есть такая примочка для файловых систем XFS и ext3 (Для ext3
и ext2 нужен специальный патч)
Причмочка называется ACL - Access List
Это
Yuri Kozlov wrote:
Нашёл
apt-get install attr
Спасибо, буду пробовать.
Наверное, всё же apt-get install acl ? Но мне это решение не кажется
оптимальным. Советую поискать по ключевым словам restricted shell.
11 matches
Mail list logo
