LINUX.ORG.RU

как это можно сделать?

бей ему по рукам !

пятница завтра, но три выходных заставили начать сегодня ?

x905 ★★★★★
()
Ответ на: комментарий от Eddy_Em

нет)

возможность запрещать запуски процессов нужна для liveworkspace.org. сейчас, я использую systrace, но с ним есть проблемы. вот и хочу от него избавиться.

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

Ну дык и формулируй по-человечески! А то с твоих слов получается, что юзер вообще ни каким местом не должен заходить в систему!

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Ubuntu1210

И это говорит некто с гордым именем бубунту…

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

ок, переформулирую еще раз: программы/скрипты выполняются от имени некоторого юзера. мне нужно сделать так, что эти самые программы/скрипты немогли запускать процессы.

спасибо.

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

Дочерние?

Ну так гугол в руки. ulimits какие-нибудь на предмет максимального количества дочерних процессов.

Eddy_Em ☆☆☆☆☆
()

ulimit или /etc/security/limits.{d/*,conf} ?

AITap ★★★★★
()

Уверен, что это можно сделать посредством grsecurity.

Kindly_Cat
()
Ответ на: комментарий от Eddy_Em

да, дочерние.

ок, попытаюсь нагуглить..

если не сложно, подскажи более конкретно, а то я долго гуглить буду.. спасибо большое.

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

программы/скрипты выполняются от имени некоторого юзера. мне нужно сделать так, что эти самые программы/скрипты немогли запускать процессы.

какоето странное требование - юзер неугоден или процессы бажные ?
и что пользователю думать на такое ограничение ?
что за задача?

x905 ★★★★★
()

нужно некоторому юзеру запретить создавать процессы. как это можно сделать?

LD_PRELOAD ...
или даже
chmod o-x ... ну ты понял

sdio ★★★★★
()
Последнее исправление: sdio (всего исправлений: 1)
Ответ на: комментарий от niXman

Как ты себе это представляешь?
Выполнение любой невстроенной команды оболочки, любой команды в pipeline, запуск любой программы - создание процесса.
«Запретить пользователю создавать процессы» - не дать ему ничего вообще делать, кроме как нажимать клавиши в тетрисе, запущенном вместо оболочки.

ABW ★★★★★
()
Ответ на: комментарий от niXman

что за задача?

liveworkspace.org

Ни хрена не понял. Прошел по адресу — там нечто, вроде он-лайн компилятора. И? Что надо-то?

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от ABW

Как ты себе это представляешь?

уже пояснил выше. изначально неправильно сформулировал вопрос. нужно запретить создавать процессы-потомки.

niXman ★★★
() автор топика
Ответ на: комментарий от Eddy_Em

Что надо-то?

ну вот же:

нужно сделать так, чтоб программы/скрипты немогли запускать процессы.

т.е. сейчас это сделано с использованием systrace. но с ним есть проблемы, вот и ищу способ как добиться желаемого без него.

как вариант, как написал выше sdio, поставить хук на clone().

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

Вот у меня такое впечатление, что ты тупо берешь код из формочки и посылаешь его на вход gcc… Жестоко!

Eddy_Em ☆☆☆☆☆
()

Вход юзера в систему, уже +1 процесс .Смысл? Исключить из всех групп, создать группу с ограниченными правами и сунуть туда.

Dron ★★★★★
()
Ответ на: комментарий от niXman

У меня в профиле явно написано: «я — не программист!». У меня тупо нет знаний для постройки такого сервиса! Но уж тех, что есть, явно достаточно, чтобы осознавать, что тупым POST → gcc → POST это нельзя делать!

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

упым POST → gcc → POST это нельзя делать!

наверное именно поэтому, все существующие сервисы работают таким образом. у меня, хотя бы systrace юзается.

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

все существующие сервисы работают таким образом

Подозреваю, что они таки это делают в песочнице. Которая сдыхает по таймауту.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

мы ушли в полный оффтоп. в общем, сейчас пытаюсь создать хуки для нескольких функций. посмотрю, что из этого выйдет...

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

в меньшие, чем написание хука.

по теме, кроме хука и песочницы, еще можно ставить NPROC в улимите, например, в 1. хз что там у тебя за скрипты, на сайт не ходил, но как тут правильно сказали - скрипты это запуск множества процессов, не взлетит

val-amart ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.