Mandriva PowerPack, root без прав и блондинка с правами

>бесправному пользователю открыты и настройки, и консоль, и всё, что душе угодно.

ну во-первых далеко не все.

во-вторых: сформулируйте вопрос более четко.

>ну во-первых далеко не все.

Думаю, что Вы правы, но проблема от этого не меньше (ну, может чуть-чуть меньше :) )

>во-вторых: сформулируйте вопрос более четко.

Попробую более чётко: "Делать надо что-то, а что делать?.." - читать так: "ЧТО ДЕЛАТЬ?!"

Во первых прекратить баловство с правами.

Во вторых попробовать применить следующею магию (от root'а в консоли):

chown -R <имя-вашего-пользователя>:users /home/<имя-вашего-пользователя>/.kde/* 

и

chmod -R +rw /home/<имя-вашего-пользователя>/.kde/* 

Так, кто у нас подсчет девушек на LOR ведет? Сколько пальцев там уже загнуто то? ;)

>Во первых прекратить баловство с правами.

Это уже дискриминация какая-то :( Ну, а как насчёт познания, самосовершенствия, любопытства и т.д., и т.п.?

>Во вторых попробовать применить следующею магию (от root'а в консоли): chown -R <имя-вашего-пользователя>:users /home/<имя-вашего-пользователя>/.kde/* и chmod -R +rw /home/<имя-вашего-пользователя>/.kde/*

Вот спасибо-таки :) Попробую, отчитаюсь позже :)

Все блондинки? :)))

> chown -R <имя

> chmod -R +rw /home/<имя

По моему у дамы проблема совсем не с этим.

Что означает "позапрещала простым пользователям запуск отдельных приложений"? Где и как это делалось? Для каких целей?

У меня впечатление, что дама хочет сделать "безопасно". Но для этого нужно просто немножко понимать предмет, что именно может представлять опасность и что против этого предпринимать. Запрещать "редактор меню" - это на безопасности мало скажется.

Давайте уточним техзадание. Одна машина или сеть? Один пользователь или несколько? Наличие сети общего доступа "интернет" или нет? Что необходимо предоставить и что необходимо запретить?

Вы понимаете женщин? И давно это у вас?

>По моему у дамы проблема совсем не с этим.

Ну, вот сразу унизить надо... Ну, паранойя у меня (к примеру) :)

>Что означает "позапрещала простым пользователям запуск отдельных приложений"? Где и как это делалось? Для каких целей?

>Что означает "позапрещала простым пользователям запуск отдельных приложений"? Где и как это делалось? Для каких целей?

Насчёт "где и как", я выше писала, что ""Редактор меню KDE" - тот самый через которого я назначала права доступа к различным программам". Насчёт "для каких целей"... ну... интересно же что-то новое познать, с чего-то надо начинать это познание. Кто с чего - у меня получилось так. Вы только не расстраивайтесь так :)

>Давайте уточним техзадание. Одна машина или сеть? Один пользователь или несколько? Наличие сети общего доступа "интернет" или нет? Что необходимо предоставить и что необходимо запретить?

Машина одна. Пользователей будет несколько. Интернет будет, но позже, когда я научусь чуть-чуть "немножко понимать предмет" :) Предоставить нужно будет максимум, но тот, который не отразится на работоспособности машины. Коллектив, который будет её пользовать - хулиганы и интриганы :)))

>Вы понимаете женщин? И давно это у вас?

О!!! :)

>chown -R <имя-вашего-пользователя>:users /home/<имя-вашего-пользователя>/.kde/*

chown: пропущен операнд после `<имя-вашего-пользователя>:users /home/<имя-вашего-пользователя>/.kde/*`

>chmod -R +rw /home/<имя-вашего-пользователя>/.kde/*

тоже самое.

Вот... :(

> Ну, паранойя у меня (к примеру) :)

Это, до какой-то степени, правильно. Все хорошо. Когда в меру.

> интересно же что-то новое познать,

Лучше почитайте книжек про линукс. И если есть интерес - то осваивайте командную строку. Это принесет столько знаний что текущие вопросы станут заканчиваться (хотя смогут начать начинаться новые).

> Пользователей будет несколько.

Пусть у каждого будет своя отдельная учетная запись. И персональные данные каждый пусть хранит в своем домашнем каталоге.

Права на домашние каталоги должны быть 700 (drwx------), от рута:

chmod 700 /home/*

Это была цитата из предыдущего оратора. Не полная. Полностью ищите выше (хотя это по моему не имеет отношения к вопросу).

Еще пользователям нужно запретить su и sudo, за подробнстями - к специалистам по мандриве, как там у них все это организовано.

> Все хорошо. Когда в меру.

Паранойя "в меру" - это уже не паранойя :)))

> Лучше почитайте книжек про линукс. И если есть интерес - то осваивайте командную строку. Это принесет столько знаний что текущие вопросы станут заканчиваться (хотя смогут начать начинаться новые).

Вот за три дня я уже почитала "Linux по-человечески. Как установить и настроить Linux. Mandriva-2006. Русская версия" Артман Борис, изд. "Триумф" Вот почитала-почитала, пыталась установить второй операционкой к ХРишке на рейд масиве, установила, но загрузчик так и не смогла запустить... даже при помощи Acronis Disk Director Suite 10 :( Бросила этот комп - ушла на другой и поставила Мандриву единственной операционкой. Далее, как твм в книжке-то? А! Настроить! Настроила. И вот до чего донастраивалась - с тем и пришла к Вам :) А про умные книжки по командной строке для блондинок - благодарна была бы ссылке :)

> Пусть у каждого будет своя отдельная учетная запись.

Я ж не против! Я против того, чтобы машинку поломали :( против того, чтобы любая учётная запись смогла отманить то, что заблокировал root.

Вот такая странная философия у меня :)

>Права на домашние каталоги должны быть 700 (drwx------), от рута:

О! Спасибочки :) Вот изучаю: http://www.linux.org.ru/view-message.jsp?msgid=385526

> Паранойя "в меру" - это уже не паранойя :)))

Вы администрируете систему, которую будут эксплуатировать злобные хакеры высокого класса? Тогда можно просто махнуть рукой.

Все хорошо в меру.

> против того, чтобы любая учётная запись смогла отманить то, что заблокировал root.

Честно говоря я очень плохо понял что именно Вы там настроили. Но похоже это как раз эффект того, что GUI что-то накрутил, но что именно - фиг его знает. Думаю не стоит придавать значения тому "редактированию меню". Или по крайней мере разобраться что именно при этом происходило.

> Вот изучаю: http://www.linux.org.ru/view-message.jsp?msgid=385526

Думаю это Вам совершенно излишне. Хотя мне условия неизвестны, может там срочно нужно SELinux и RSBAC налаживать.

Если у Вас /home на отдельном разделе, то сделайте ему опции nosuid,nodev,noexec

Ну сказано же ясно - МАНДРИВА. Всё будет нормально, если её поставить, не выделываясь. Назначить при установке пароль рута (для удовлетворения паранойи достаточно следовать рекомендациям по его выбору - от 6-ти символов, не qwerty, а цифры, буквы, спецсимвол там один влепить, и не рассказывать его никому).

Потом создаём простых пользователей, назначаем пароли им. Всё.

Если мы, как я говорил, не выделывались, /home лёг на тот же раздел, что и корень. В крайнем случае, на отдельный раздел - ничего страшного. В /home завелись каталоги пользователей типа /home/petya и /home/kostya. КСТАТИ, НЕ ЗАБУДЬТЕ создать простого пользователя для своей обычной работы - напр. prosta_ya (маленькими буквами) - ибо работа под рутом - это ДЕЙСТВИТЕЛЬНО серьёзнейшая дыра в безопасности - безо всякой паранойи.Ваш рабочий каталог плльзователя будет, в таком случае, /home/prosta_ya.

Никаких телодвижений рута больше не нужно. Тот же kostya не сможет записать или изменить не один файл вне своего /home/kostya, где хранится его Рабочий стол, папки с барахлом и всевозможные настройки. При известной настойчивости, он сможет только сломать себе что-нибудь (вплоть до невозможности войти в систему). Гммм я не имею ввиду ситуацию "сломал палец и не смог набрать свой пароль" - речь идёт только о системе ))))))))Но другие пользователи и система никак не пострадают

Мало того, для пользователя kostya будут закрыты даже для просмотра каталоги prosta_ya и petya. Т.е. каждый варится в пределах своего каталога.Все личные настройки хранятся там же в скрытых файлах (их имена начинаются с точки, посмотреть - вид - показывать скрытые файлы). В большинстве системных файлы смотреть (не изменять)можно, но В ДАННОЙ СИТУАЦИИ, думаю, это некритично.Что ещё нужно?

Простой пользователь ни через консоль, ни через менюхи не долезет дальше настроек СОБСТВЕННОГО рабочего окружения.Не зная пароль root, ессно.

Если prosta_ya подадобится что-то в личных каталогах других пользователей - тоже нифига не выйдет. Но она владеет паролем рута...

Главное меню, соответственно,У КАЖДОГО СВОЁ.В нужных местах :) требует пароль рута - причём самому руту задавать этого не нужно. А настраивали Вы доступ к главному меню рута...точнее,к иконкам в нём, что ли... короче, запрет на пользование иконкой (ссылкой) не означает запрет на пользование программой, на которую она ссылается.

Да,ВАЖНО: постарайтесь не устанавливать(или выкинуть через менеджер пакетов)программу sudo. Видимо, пакет с ней называется как-то вроде sudo-1.6.8-i686-1.mdk.rpm

Разбирайтесь, успехов! ЗЫ: Еще раз напоминаю: создайте СЕБЕ учётную запись обычного пользователя для работы, а не для администрирования.

draksec Больше для повышения безопасности в мандриве ни чего не надо.

Спасибо Вам. Понятно так :) Вообще, если кто-то что-то "напортачит" под свои пользователем, то я спокоёненько могу под рутом всё это поотменять или вообще удалить этого пользователя вместе со всеми его чудачествами? А программы, которые он успеет наставить на своей территории удалятся тоже вместе с ним? И ещё вопрос: есть ли в линуксах откаты системы наподобе виндуосовских?

И Вам спасибки :) Завтра буду изучать эту draksec

Пользователь этот вредный программы ваще ставить толком не сможет (если грамотность его на уровне виндузятнега). А если что поставит себе в папку, то оно сдохнет, если при удалении пользователя оставить галочку "удалить вместе с дломашним каталогом". Если домашний каталог не удалять - рут оттуда сможет позабирать, что нужно. Остальные так и не доберутся туда. ЭТО ЕСЛИ НЕ МЕНЯТЬ ПРАВА ПО УМОЛЧАНИЮ.