шта делать?, greenwar, 09-Окт-15, 18:26 [смотреть все]неправильно тема назвалась...ОС Debian 8 допустим у юзера стоит /bin/false или /usr/sbin/nologin но система запускает бинарники, которые принадлежат юзеру Как ему запретить делать через его бинарники cat /etc/passwd и всё такое (ГЛОБАЛЬНО, типа chroot, а не по одному файлу права снимать) ? например есть /etc/security/limits.conf, который работает через pam_limits.so, который присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на момент авторизации). Там есть chroot в т.ч., но только на время сессии, если дело было через авторизацию и юзер вошёл, а если запускала сторонняя прога от имени юзера, то как быть? И я кстати почему то не могу залогиниться с такой записью: test1 - chroot /home/test1 пишет "/bin/bash: No such file or directory" хотя я этот баш куда только не копировал и как только не менял chsh сейчас он в /home/test1/bin/bash Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся от имени группы, не могли выйти дальше /home
|
- шта делать?, asavah, 19:24 , 09-Окт-15 (1)
для таких целей изобрели контейнерную виртуализацию docker, openvzвсегда ваш, кэп
- шта делать?, greenwar, 20:19 , 09-Окт-15 (2) –1
> для таких целей изобрели контейнерную виртуализацию > docker, openvz > всегда ваш, кэп под мои условия подходит только KVM подошёл бы FreeBSD, но у меня линух изучаю LXC пока... крутая виртуализация ресурсы отожрёт и получится не то хочу обсудить вариант БЕЗ виртуализации что можно сделать?
- шта делать?, Фабрика Огрызков, 02:00 , 10-Окт-15 (7) –1
> под мои условия подходит только KVM А он тебя через SMM багу у интелов иль через отладочные регистры ломанёт. При помощи косяков у TSC и HPET на некоторых чипсетах тоже можно вылезти из виртуалки. И что самое клёвое будет сразу хостовый рут. А если на хосте в SMM лазать, то оттуда сложнее шел от рута запустить. Отака х...ня, малята.
- шта делать?, Dima103, 14:45 , 07-Дек-15 (13)
> для таких целей изобрели контейнерную виртуализацию > docker, openvz > всегда ваш, кэп и я советую воспользоваться контейнерной виртуализацией
- шта делать?, Павел Самсонов, 21:07 , 09-Окт-15 (3)
> неправильно тема назвалась... > ОС Debian 8 > допустим у юзера стоит /bin/false или /usr/sbin/nologin > но система запускает бинарники, которые принадлежат юзеру > Как ему запретить делать через его бинарники cat /etc/passwd и всё такое У меня /home смонтирован с noexec, и все места куда пользователь может писать (/tmp и т.п.) >[оверквотинг удален] > И я кстати почему то не могу залогиниться с такой записью: > test1 - > chroot > /home/test1 > пишет "/bin/bash: No such file or directory" > хотя я этот баш куда только не копировал и как только не > менял chsh > сейчас он в /home/test1/bin/bash > Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся > от имени группы, не могли выйти дальше /home
- шта делать?, greenwar, 22:04 , 09-Окт-15 (5) –1
> У меня /home смонтирован с noexec, и все места куда пользователь может > писать (/tmp и т.п.) таки мне надо, чтобы пользователь мог запускать файлы но при этом: либо не мог юзать команды, позволяющие хулиганить либо не мог вылезать этими командами за пределы /home
- шта делать?, Павел Самсонов, 22:33 , 09-Окт-15 (6)
>> У меня /home смонтирован с noexec, и все места куда пользователь может >> писать (/tmp и т.п.) > таки мне надо, чтобы пользователь мог запускать файлы > но при этом: > либо не мог юзать команды, позволяющие хулиганить Я думаю что надо относиться так: все программы установленные рутом из репозитария не опасны, система все таки продумана на этот счет. Тащить в систему свой инструментарий можно запретить (например опцией noexec на места куда пользователь может писать). А так вообще на хостингах сайтов на некоторые команды ставят 770 root:root разрешения, это распространено. Ну а chroot или контейнер требует сборки нужного окружения для пользователя включая библиотеки. > либо не мог вылезать этими командами за пределы /home - шта делать?, PavelR, 05:40 , 10-Окт-15 (8)
>> У меня /home смонтирован с noexec, и все места куда пользователь может >> писать (/tmp и т.п.) > таки мне надо, чтобы пользователь мог запускать файлы > но при этом: > либо не мог юзать команды, позволяющие хулиганить > либо не мог вылезать этими командами за пределы /home Попробуй selinux или вторую технологию, как там её зовут... Если вкуришь всю эту тему - полюбому получится сделать то, что тебе надо.
- шта делать?, k, 14:44 , 11-Окт-15 (9)
>> У меня /home смонтирован с noexec, и все места куда пользователь может >> писать (/tmp и т.п.) > таки мне надо, чтобы пользователь мог запускать файлы > но при этом: > либо не мог юзать команды, позволяющие хулиганить > либо не мог вылезать этими командами за пределы /home restricted shell
- шта делать?, greenwar, 17:22 , 11-Окт-15 (10)
>>> У меня /home смонтирован с noexec, и все места куда пользователь может >>> писать (/tmp и т.п.) >> таки мне надо, чтобы пользователь мог запускать файлы >> но при этом: >> либо не мог юзать команды, позволяющие хулиганить >> либо не мог вылезать этими командами за пределы /home > restricted shell у меня юзеры не входят в систему (только по фтп) но демон запускает их файлы
- шта делать?, Павел Самсонов, 22:00 , 09-Окт-15 (4)
>[оверквотинг удален] > присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на > момент авторизации). > Там есть chroot в т.ч., но только на время сессии, если дело > было через авторизацию и юзер вошёл, а если запускала сторонняя прога > от имени юзера, то как быть? > И я кстати почему то не могу залогиниться с такой записью: > test1 - > chroot > /home/test1 > пишет "/bin/bash: No such file or directory" Ему надо еще библиотеки ldd /bin/bash в /home/test1/lib/ > хотя я этот баш куда только не копировал и как только не > менял chsh > сейчас он в /home/test1/bin/bash > Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся > от имени группы, не могли выйти дальше /home - шта делать?, anonymous, 17:11 , 13-Окт-15 (11)
"шта делать?"по идее, для начала выучить русский язык
- шта делать?, omonimus, 21:04 , 21-Окт-15 (12)
> "шта делать?" > по идее, для начала выучить русский язык Запятая тут ни к чему. Так что тот же совет дай и себе)
|