Политики ограниченного использования программ для Ubuntu

>ограниченного использования программ

Это как?

SRP

Что это?

сам не могу выбрать: http://en.wikipedia.org/wiki/SRP :)

Хм.. тогда опиши своими словами, чего ты хочешь. А то я не понял вообще.

Все уже описано до нас:
What Are Software Restriction Policies?
Description of the Software Restriction Policies in Windows XP

По второй ссылке промтовый перевод, видимо, но общий смысл понятен.

ТС, объясни мне - зачем оно тебе в линуксе? Тут нет ни троянов, ни прочей лабуды, весь софт проверен, в репах дерьма нет. Зачем? Зачем тянуть ненужные приблуды винды в православный линукс?

По данным ЛК за 2010 год под Linux существует около 2000 вредоносов. Но дело собственно не в этом Linux поболе многопользовательская ОС чем Windows, а как админить. Я привык иметь полный контроль над системой и над пользователем, разрешать не более того, что пользователю требуется. Собсна что надо: разрешить только определённый список расширений для пользователя. С сертификатами наверное в Linux туго, поэтому создать правила по хэшу для нужных программ, скриптов, динамических библиотек итп Возможно, что это тяжёлое наследие Виндовс, но я так привык и хочу что бы так было и на Linux.

В одной _очень_ крупной и серьезной компании администраторы фермы серверов Citrix также «защитились». Посел чего их ферму показательно выпили, после чего все выходные они провели на работе...

В Windows прикипел к SRP, и в Linux без SRP чувствую себя неуютно, а чем заменить незнаю???

Ни чем. SRP - абсолютно бесполезная штука, не имеющая никакого отношения к безопасности. Она легко обходится штатными средствами венды и в принципе помогает только от ламеров.

>По данным ЛК за 2010 год под Linux существует около 2000 вредоносов.

sudo make && sudo make install?

Очень жаль. Несогласен. Очень было бы интересно узнать как обходятся правила SRP созданные по сертификату или по хэшу, но только не на Linux.org

Вполне возможно, что и так, хотя не факт.

Несогласен.

С чем?

Очень было бы интересно узнать как обходятся правила SRP созданные по сертификату или по хэшу, но только не на Linux.org

В гугль -> «bypass software restriction policy». Методов куча. Если я правильно понимаю, то реализовано SRP просто проверкой где-то внутри функций запуска приложений (аналогов unix'овых exec*()).

Если тебе нужно более надёжно запретить что-то пользователю, то в линуксе это решается точно тем же способом, что и в виндоусе - грамотной раздачей прав на файлы. Права на файлы без прав администратора и физического доступа к компьютеру (в смысле разобрать и вынуть диск) обойти практически невозможно.

В венде кстати есть ещё одна подобная security-фикция - групповые политики домена.

Если тебе нужно более надёжно запретить что-то пользователю, то в линуксе это решается точно тем же способом, что и в виндоусе - грамотной раздачей прав на файлы. Права на файлы без прав администратора и физического доступа к компьютеру (в смысле разобрать и вынуть диск) обойти практически невозможно.

Забыл сказать главное: даже если у пользователя не будет прав на файлы какой-либо программы, то он всё равно сможет скачать её из интернета в свою домашнюю директорию (/home/$USER, c:/d&s/%USER%) и запустить оттуда =).

TOMOYO Linux, обучить, запретить лишнее, добавить звёздочек, профит.

Тогда уж можно и SELinux вспомнить, и другие подобные системы...

SELinux заметно сложнее в настройке, особенно на произвольном дистрибутиве, угаданном телепатами.

Об правильно настроенные политики SRP немало копий сломано, слежу за этим не первый год. Мне известно толко два варианта обхода это эксплоит на уровне системы здесь Винду можно брать голыми руками, и вирус который исполняется из памяти без записи на HDD.

Вот от этого и помогают такие вещи как SRP. Если у юзера права на запуск только определённых расширений то откуда бы он не скачал запустить не удастся.

Расширения .exe туда входят, так? ;)

Спасибо посмотрю, что за системы TOMOYO Linux SELinux.

Естевственно да, входят практически все встречаемые расширения, для экзотических программ можно добавить расширение.

Кому интересно про SRP вот неплохой блог http://www.sysadmins.lv/ Спасибо за участие. Удачи.

Используй утилиту sudo и AppArmor. И будет тебе счастье.

Т.е. можно запустить любую программу с расшриением .exe?

Нее, ты своими словами расскажи — это тебе же какие-то функции потребовались. Расскажи, что, как и зачем ты хочешь контролировать, приведи, так сказать use case.

красиво рекламируешь, молодец.

Опять я прослоупочил чего? Расскажи про сей случай, если не секрет.

> но я так привык и хочу что бы так было и на Linux.

тогда зачем тебе линух ВООБЩЕ???

сиди дальше на венде и парься

Именно так я, не доставляя лишнего беспокойства админам на работе поставил себе gvim, gimp и strawberry perl. LibreOffice ставили по служебке, абаснуй - бесплатное средство редактирования повсеместно распространённого ублюдочного pdf.

1) Создаём каталог /Program Files
2) Прописываем его в $PATH для всех юзверей
3) Кидаем туды хардлинки на разрешённые программы
4) Каталоги /bin, /sbin, /usr и прочие - убираем с глаз подальше с помощью чего-нибудь эдакого: http://www.gobolinux.org/?page=doc/articles/gobohide

Профит :-)

>Я привык иметь полный контроль над системой и над пользователем, разрешать не более того, что пользователю требуется.

Какой-то дисонанс у меня от этой фразы. Вы,простите,сисадмин,гендир,рабовладелец или бог? Из контекста не ясно.

А так да,SELinux или AppArmorr,смотря что из дистров используется.Вроде нового для этих целей ничего пока не придумали.

ну вобще то не я этот топик создал

>4) Каталоги /bin, /sbin, /usr и прочие - убираем с глаз подальше с помощью чего-нибудь эдакого: http://www.gobolinux.org/?page=doc/articles/gobohide
Скроет, не запретит.

хардлинки

Не работают между ФС.
Не решена проблема скачиваемых программ.

> В Windows прикипел к SRP, и в Linux без SRP чувствую себя неуютно

ошибка в каком гене твоего днк заставила тебя юзать линукс?

Не решена проблема скачиваемых программ.

noexec?

>noexec?
bash ~/Downloads/evil-script

> Опять я прослоупочил чего?

Нет, это просто информация «категории никаких имен и названий, иначе станет еще одной легендой ИБ».

Расскажи про сей случай, если не секрет

Все как обычно. Похожие на ТС «специалисты» «защитили» свои серверы аналогичным образом, и готовились получать премии. К нечастью для них, параллельно с этим был нанят внешний аудит, которому поставили задачей это все сломать. В пятницу сотрудники аудитора подключились к промышленному цитриксу, и показательно его положили. В субботу владельцы цитриксового кластера поехали на работу его чинить. В понедельник всех лишили премии, аудиторам выплатили оговоренные деньги и попросили «больше так не делать».

На ithappens нашел еще более эпичный случай, когда нанятые IT-аудиторы нашли на помойке секретную документацию клиента ))

>ЛК

nobody cares about this mention

Мне известно толко два варианта обхода

Так погугли же и узнай ещё десяток 8).

Вот от этого и помогают такие вещи как SRP. Если у юзера права на запуск только определённых расширений то откуда бы он не скачал запустить не удастся.

Специально для тормозов повторяю: SRP _элементарно_ обходится.

http://ithappens.ru/story/5941 - а вот и оно.

Ну смотри.
http://forum.sysadmins.su/index.php?showtopic=26159
http://ftp.sysadmins.ru/post8838016.html

У меня эти методы не работают.

C непривычки с AppArmorr трудно пришлось,поэтому решил просто разграничить права на запись и запуск думаю от шаловливых ручек вполне достаточно, а остальное в Linux и ненадо ИМХО. Кто нибудь знает аналог Windows проги AccessEnum под Linux?

man find, ls, grep

Сделать прокси и фильтровать трафик по типу закачки?

>Сделать прокси и фильтровать трафик по типу закачки?
Сложно; непонятно, что делать с SSL.
AppArmor/Tomoyo/SELinux умеют делать «белый список» того, что разрешено конкретной программе (например, шеллу, xinitrc, браузеру) и запрещают вообще всё, что выходит за его пределы (запуск лишних программ, чтение/запись лишних файлов, лишние соединения по сети, лишние capabilities…). Даже руту (т.е. не так страшно внезапное повышение привилегий, рут без посторонней помощи не выйдет из правильной песочницы). При этом у них очень маленький оверхэд (хотя насчёт SELinux не уверен, слишком он энтерпрайзный).

Про AppArmor я тоже как бы намекал, но видимо товарищу ТС хочется Большой Красной Кнопки...

AppArmor же.