LINUX.ORG.RU

Запрет запуска программ


0

0

Извиняюсь за глупый вопрос. Подскажите, как сделать так, чтобы на десктопной системе (сейча используется mandriva) пользователи могли запускать только определенные программы? (в особенности интересует запрет на запуск скаченых из интернета программ, пользователи относительно продвинутые)

anonymous

noexec в опциях /etc/fstab на /home, /tmp, /dev/shm и т.п. (ну, что доступно на запись пользователям, туда и noexec )

В grsecurity, кажется, было что-то на предмет trusted path execution, но грсек -- это головная боль.

lodin ★★★★
()
Ответ на: комментарий от lodin

Re^2: Запрет запуска программ

> noexec в опциях /etc/fstab на /home, /tmp, /dev/shm и т.п. (ну, что доступно на запись пользователям, туда и noexec )

> В grsecurity, кажется, было что-то на предмет trusted path execution, но грсек -- это головная боль.


можно ли сделать noexec, если и /tmp и /home в /-разделе?

GuttaLinux
()
Ответ на: комментарий от sin_a

Re^4: Запрет запуска программ

> mount --bind olddir newdir

> After this call the same contents is accessible in two places. One can also remount a single file (on a single file).


> Это?


что с чем ты предлагаешь биндить? и подойдёт ли туда noexec. и к чему именно оно тогда будет относиться?

man mount смотрел

GuttaLinux
()
Ответ на: комментарий от sin_a

Re^6: Запрет запуска программ

> Будет-ли noexec - не знаю, но можно попробовать?

# cd /home.real
# ./koro1grabber
Koro1 grabbed!
# cd /home
# ./koro1grabber
Koro1 grabbed!

не доверяй и проверяй!

GuttaLinux
()
Ответ на: комментарий от anonymous

А смысл делать защиту, если все равно можно сделать cat evil.py | python? Другое дело, что накропать evil на питоне, перле или шелле намного сложнее, чем на C.

Нет, можно конечно все скриптовые языки пропатчить на предмет невосприятия stdin (про perl -e 'print "hello!\n"' не забываем), но это видимо overkill и ни один большой дистрибутив такого делать не будет.

lodin ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.