LINUX.ORG.RU

запретить юзеру читать любые файлы кроме тех что находятся в хомяке и его подкаталогах


0

1

привет!

подскажите по сабжу.

т.е. когда юзер запускает скомпилиенный им бинарник, или shell скрипт, или python скрипт(или что-либо еще), есть ли возможность запретить запущенному бинарнику/скрипту читать любые файлы кроме тех что находятся в хомяке и его подкаталогах?

скрипты и бинарники которые юзер хочет запускать, могут находится только в хомяке и его подкаталогах.

благодарен.

★★★

Последнее исправление: niXman (всего исправлений: 1)

Головой думал?

Запуск программы-это загрузка дефолтных иконок из каталога темы,загрузка стиля,загрузка конфигов дополнительных(тогоже питона,или еще чего),загрузка параметров работы с сетью/IO ...и угадай-это все находится НЕ в каталоге юзера...

Под твои требования подходит виртуалка.(каждому юзеру по своей виртуалке).

Также если у тебя не полная паранойя-apparmor,там и выставляй правила.

anonymous
()

apparmor, gentoo sandbox

AITap ★★★★★
()

Хватит 750 на директории пользователей и включение их в разные группы. Или 700, если они все в одной группе.

Eddy_Em ☆☆☆☆☆
()

Идиот. Звезду нафлудил, а все равно - идиот.

anonymous
()

скрипты и бинарники которые юзер хочет запускать, могут находится только в хомяке и его подкаталогах.

bash? ls? passwd? библиотеки?

Для начала, разберись с тараканами в своей голове, почитай умные книжки по защите информации - в них во всех говорится, что если администратор хочет защитить систему путем запрета запуска отдельных приложений - такого администратора надо уволить.

no-dashi ★★★★★
()

Ты этого не хочешь. Но вообще такой изврат реализуется через pam_namespace. Либо через любой MAC, достаточно одного правила. В любом случае будет тонна геморроя.

x3al ★★★★★
()

AITap, Eddy_Em, спасибо за ответы по существу.

всем остальным спасибо за флуд.

niXman ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.