запретить некоторому юзеру создавать процессы

В /etc/passwd поставить ему /sbin/nologin

разве это поможет чем-то, кроме как запретит ему логинится?

Он вообще не сможет создавать процессы. Задача решена!

да, забавно)

а по сабжу что можете подсказать?

Это — вопрос из зачета?

как это можно сделать?

бей ему по рукам !

пятница завтра, но три выходных заставили начать сегодня ?

нет)

возможность запрещать запуски процессов нужна для liveworkspace.org. сейчас, я использую systrace, но с ним есть проблемы. вот и хочу от него избавиться.

Ну дык и формулируй по-человечески! А то с твоих слов получается, что юзер вообще ни каким местом не должен заходить в систему!

три выходных заставили начать сегодня ?

не понял..

Ох уж эти фанатики.

И это говорит некто с гордым именем бубунту…

Пить ты, судя по ТЗ, уже сегодня начал.

ок, переформулирую еще раз: программы/скрипты выполняются от имени некоторого юзера. мне нужно сделать так, что эти самые программы/скрипты немогли запускать процессы.

спасибо.

нет, это невозможно.

Дочерние?

Ну так гугол в руки. ulimits какие-нибудь на предмет максимального количества дочерних процессов.

Что невозможно? Уже перепил?

ulimit или /etc/security/limits.{d/*,conf} ?

Уверен, что это можно сделать посредством grsecurity.

да, дочерние.

ок, попытаюсь нагуглить..

если не сложно, подскажи более конкретно, а то я долго гуглить буду.. спасибо большое.

программы/скрипты выполняются от имени некоторого юзера. мне нужно сделать так, что эти самые программы/скрипты немогли запускать процессы.

какоето странное требование - юзер неугоден или процессы бажные ?
и что пользователю думать на такое ограничение ?
что за задача?

юзер неугоден или процессы бажные ?

ради безопасности.

что за задача?

liveworkspace.org

нужно некоторому юзеру запретить создавать процессы. как это можно сделать?

LD_PRELOAD ...
или даже
chmod o-x ... ну ты понял

LD_PRELOAD

предлагаешь поставить хук на clone? или что?

chmod o-x

а вот тут совсем не понял.

Как ты себе это представляешь?
Выполнение любой невстроенной команды оболочки, любой команды в pipeline, запуск любой программы - создание процесса.
«Запретить пользователю создавать процессы» - не дать ему ничего вообще делать, кроме как нажимать клавиши в тетрисе, запущенном вместо оболочки.

что за задача?

liveworkspace.org

Ни хрена не понял. Прошел по адресу — там нечто, вроде он-лайн компилятора. И? Что надо-то?

Как ты себе это представляешь?

уже пояснил выше. изначально неправильно сформулировал вопрос. нужно запретить создавать процессы-потомки.

Что надо-то?

ну вот же:

нужно сделать так, чтоб программы/скрипты немогли запускать процессы.

т.е. сейчас это сделано с использованием systrace. но с ним есть проблемы, вот и ищу способ как добиться желаемого без него.

как вариант, как написал выше sdio, поставить хук на clone().

http://ejudge.ru/wiki/index.php/Патч_к_ядру_Linux

Так сайт — твой?

да.

Ужас.

Запрети сисвызов fork!

Запрети сисвызов fork!

кэп

Вот у меня такое впечатление, что ты тупо берешь код из формочки и посылаешь его на вход gcc… Жестоко!

Вход юзера в систему, уже +1 процесс .Смысл? Исключить из всех групп, создать группу с ограниченными правами и сунуть туда.

предложения?

У меня в профиле явно написано: «я — не программист!». У меня тупо нет знаний для постройки такого сервиса! Но уж тех, что есть, явно достаточно, чтобы осознавать, что тупым POST → gcc → POST это нельзя делать!

упым POST → gcc → POST это нельзя делать!

наверное именно поэтому, все существующие сервисы работают таким образом. у меня, хотя бы systrace юзается.

все существующие сервисы работают таким образом

Подозреваю, что они таки это делают в песочнице. Которая сдыхает по таймауту.

мы ушли в полный оффтоп. в общем, сейчас пытаюсь создать хуки для нескольких функций. посмотрю, что из этого выйдет...

По-моему, все-таки стоит почитать про запуск CGI в песочницах.

возможно ты прав. но я хз, в какие труды мне это выльется, с учетом того, что я ни админ.

в меньшие, чем написание хука.

по теме, кроме хука и песочницы, еще можно ставить NPROC в улимите, например, в 1. хз что там у тебя за скрипты, на сайт не ходил, но как тут правильно сказали - скрипты это запуск множества процессов, не взлетит