История изменений
Исправление AndreyKl, (текущая версия) :
имеется ввиду запрет пользователю. Пользователь не должен собирать initramfs.
пользователь и не собирает. у меня httpd идёт под apache:apache. системные бинарники обычно имеют хозяина root:root
я хочу чтобы апач ничего не мог запусить, вообще. Кроме того что я ему разрешу.
Для этого я делаю что-то вроде find /{usr/bin,usr/sbin,lib,lib64} -type f -exec chmod o-x {} \;
Потом chmod o+x list_of_choosen_files_allowd_for_apache
И вроде всё неплохо, кроме того конечно что постфикс там почту не отправляет, залогиниться проблема потому что пам модули не запускаются, и т.д., короче полная жопа и разбираться с ней не так уж просто, если только не сделать rpm --set-perms или что-то вроде.
Тогда я попробовал запретить для апача через setfacl . И выгреб проблему при сборке инитрамфс после обновления ядра. Там получается что в инитрам запихивается то ли греп, то ли ещё что-то, я уже не помню, а инитрамфс не умеет расширенные атрибуты, и сборка падает.
А если разрешить греп, то можно ничего не запрещать, смысла нет.
Можно конечно покомбинировать два метода вышепредложенных. Но там опять проблема - после обновления пакеты имеют свойства востанавливать исходные права. Опять гемор.
А вот с selinux такого гемора не наблюдается пока (хотя в продакшине ещё не испытывал конфигурацию).
Исходная версия AndreyKl, :
имеется ввиду запрет пользователю. Пользователь не должен собирать initramfs.
пользователь и не собирает. у меня httpd идёт под apache:apache. системные бинарники обычно имеют хозяина root:root
я хочу чтобы апач ничего не мог запусить, вообще. Кроме того что я ему разрешу.
Для этого я делаю что-то вроде find /{usr/bin,usr/sbin,lib,lib64} -type f -exec chmod o-x {} \;
Потом chmod o+x list_of_choosen_files_allowd_for_apache
И вроде всё неплохо, кроме того конечно что постфикс там почту не отправляет, залогиниться проблема потому что пам модули не запускаются, и т.д., короче полная жопа и разбираться с ней не так уж просто, если только не сделать rpm --set-perms или что-то вроде.
Тогда я попробовал запретить для апача через setfacl . И выгреб проблему при сборке инитрамфс после обновления ядра. Там получается что в инитрам запихивается то ли греп, то ли ещё что-то, я уже не помню, а инитрамфс не умеет расширенные атрибуты, и сборка падает.
А если разрешить греп, то можно ничего не запрещать.
Можно конечно покомбинировать два метода вышепредложенных. Но там опять проблема - после обновления пакеты имеют свойства востанавливать исходные права. Опять гемор.
А вот с selinux такого гемора не наблюдается пока (хотя в продакшине ещё не испытывал конфигурацию).