Запретить неизвестным процессам доступ к ресурсам

Это костыль. К тому же, не очень секюрно. Скрипт запускать придётся от рута, не? Вообще-то предполагается что за компьютером будет работать человек, у которого не должно быть рутового доступа, соответственно пароль рута вводить он не может. Использовать suid? Это не очень хорошо и не приветствуется.

слушай, вернись на винфак пожалуйста. Тебя там заждались.

Велосипедное ноу-хау?

слушай, вернись на винфак пожалуйста. Тебя там заждались.

Уйди в ужас. Нафиг тогда нужен этот ваш прыщебдядикс, если вы на винфак посылаете? Так вы так и будете болтаться в своём 1%.

Ты, сучоныш вантузный, скажи мне, зачем в вашей параше для 99% жвачных обезьян выбор считывателя с ключами вываливает три окна и отдельный рабочий стол? Где там безопасность?

Еще есть sudo.

Не годится, это только для сисадмина, а речь идёт о простом гипотетическом пользователе-дураке, который не должен иметь никаких возможностей кроме запуска приложений из меню.

Ты, сучоныш вантузный, скажи мне, зачем в вашей параше для 99% жвачных обезьян выбор считывателя с ключами вываливает три окна и отдельный рабочий стол? Где там безопасность?

Не знаю о чём речь, наверное у тебя руки кривые или у того кто разрабатывал этот твой считыватель с ключами.

То есть, анонимным жвачным обезьянам с 99% неведома их собственная параша, но они приходят на линуксячий форум разглагольствовать о безопасности? Предсказуемо.

То есть, анонимным жвачным обезьянам с 99% неведома их собственная параша,

Так у тебя какая-то кривая программа глючит, причём тут венда?

но они приходят на линуксячий форум разглагольствовать о безопасности? Предсказуемо.

Что предсказуемо? К вам пришёл пользователь с вопросом, а вы тут выёбываетесь своими УМВР-костылями, про возможность использования которых и так известно.

Какая кривая программа? Микрософт виндовс? Пользователь с вопросом пришёл — ему сказали про мандатный доступ, он возрыдал, что умрёт от старости, не осилив жалких политик селинукса, а потом припёрся ты нести свою вантузоидную околесину.

Какая кривая программа? Микрософт виндовс?

Не знаю, тебе на винфак с этим.

а потом припёрся ты

Это я и есть.

нести свою вантузоидную околесину.

Про вантуз разговор вы завели, я его не упоминал. По теме конкретика есть какая? Нет? Общайся с балаболом emulek.

Я первый про selinux написал, а ты про проценты, запуск от имени другого пользователя и ляликс ныть пришёл, а с балаболом сам общайся, он мне ненужен.

всю жизнь все так делают.

Нафиг тогда нужен этот ваш прыщебдядикс, если вы на винфак посылаете?

я где-то говорил «ты нужен»? Нет. Ты — не нужен. Здесь во всяком случае. И на ЛОРе, и в Linux.

Так вы так и будете болтаться в своём 1%.

это не баг, а фича. Пока Over9000M мудаков не станут юзать Slackware Linux, для неё никто не станет писать вредоносное ПО. Разве ты этого не понимаешь? Дык зачем такие как ты в моей уютной слаке?

Не годится, это только для сисадмина, а речь идёт о простом гипотетическом пользователе-дураке, который не должен иметь никаких возможностей кроме запуска приложений из меню.

вот мой сынишка, когда тыкает на иконку chrome, на самом деле выполняет команду sudo -u otheruser /opt/google/chrome/google-chrome. Он даже ещё пока толком меню кед не осилил, и тыкает прямо в рабочей стол на ярлык.

Я первый про selinux написал

Не ври, я первый упомянул его ещё в тегах. Про существование selinux и то что он является аналогом apparmor я и без соплей знаю. Мне нужна конкретика, чтобы не тратить зря времени на изучение его документации, т.к. боюсь что может окажется что оно не умеет то о чём я спрашиваю.

Все вы линуксоиды такие. К вам приходишь с вопросом, а вам лишь бы побалаболить. Приходите и начинаете гнуть пальцы, при этом ни один ничего конкретного по теме не напишет. Да, именно поэтому ваше сообщество практически не растёт, народ предпочитает пользоваться более дружелюбной системой с более дружелюбным сообществом.

а ты про проценты

Это в ответ на ваш тупняк чтобы задеть.

запуск от имени другого пользователя

Не я, а вы, в частности emulek.

с балаболом сам общайся, он мне ненужен.

потому что я обоих солью и опущу ниже плинтуса. Между делом. И потому ты ссышь даже залогиниться. И твой друг маздайщик — тоже. А в толксы мну тоже не пускают, ибо постоянно на меня стучат болезные регистранты с рваной попкой. Но самое печальное в том, что вы сами себя сливаете и опускаете. А обижаетесь почему-то на меня...

Пока Over9000M мудаков не станут юзать Slackware Linux, для неё никто не станет писать вредоносное ПО.

И это основа безопасности вашей системы? Лол! Тут даже комментировать нечего :D

при этом ни один ничего конкретного по теме не напишет.

я тебе дал конкретный ответ. И не только я. А ты даже не попробовал его применить. Только ноешь.

И это основа безопасности вашей системы?

нет. Это не основа, это фича. Основа в том, что в слаку не принято тащить непонятное говно неизвестно откуда. Вроде безусловно бесплатного фотошопа, над которым потрудился какой-то школьник(когда писал кряк).

я тебе дал конкретный ответ. И не только я. А ты даже не попробовал его применить. Только ноешь.

Ещё раз говорю, твой совет очевиден и про него я без соплей знаю. Меня интересует только конкретика про apparmor или selinux.

нет. Это не основа, это фича. Основа в том, что в слаку не принято тащить непонятное говно неизвестно откуда. Вроде безусловно бесплатного фотошопа, над которым потрудился какой-то школьник(когда писал кряк).

Анекдот про неуловимого Джо знаешь?

Ещё раз говорю, твой совет очевиден и про него я без соплей знаю. Меня интересует только конкретика про apparmor или selinux.

ты только сначала обоснуй необходимость применения selinux. А то я такой необходимости не вижу.

ты только сначала обоснуй необходимость применения selinux. А то я такой необходимости не вижу.

Зачем мне тебе это обосновывать? Тема не об их нужности или ненужности, а об их возможностях. Я не оспариваю возможность обойтись без них линуксвейными костылями.

Анекдот про неуловимого Джо знаешь?

да. В этой шутке тоже есть доля шутки.

И вообще, с чего ты взял, что пользователи Linux будут агитировать тебя юзать Linux? Думаешь, мне с каждой инсталлляцией слаки перевод на мой счёт в банке приходит? Нет, не приходит. Мало того — даже самому Патрику не приходит. Ну и смысл?

Думаешь проблема с железом дровами есть? Нет. Вот например в слаке есть exFAT. Знаешь откуда? Из андроида. Да будь ваш андроид хоть 100500 раз нелинух, exFAT в слаке работает. Причём для этого не нужны такие хомячки как ты.

Теперь ответь — зачем мне кого-то агитировать?

Зачем мне тебе это обосновывать?

потому что это тоже самое, как летать на вертолёте в магазин за водкой, до которого идти пешком пять минут. По моему мнению. У тебя наверное есть какие-то свои резоны, о которых я не знаю. Вот и рассказывай.

И вообще, с чего ты взял, что пользователи Linux будут агитировать тебя юзать Linux?

А зачем меня агитировать? У меня этот ваш прыщеблядикс уже несколько лет как единственная система дома.

Думаешь, мне с каждой инсталлляцией слаки перевод на мой счёт в банке приходит?

Думаю что тебе с каждого разведённого срача на лоре приходит перевод на счёт в банке.

Думаешь проблема с железом дровами есть?

По крайней мере часто тут встречаю жалобы что у кого-то что-то не работает нормально на ноутах, например.

Теперь ответь — зачем мне кого-то агитировать?

Это у тебя надо спросить зачем ты постоянно провоцируешь срачи своим тупняком. Что-то ты совсем не похож на семейного человека, каким ты себя постоянно пытаешься изобразить. Время второй час ночи (да-да, я помню, ты живёшь в своём часовом поясе, несмотря на то что ты в Питере :D), а ты срёшься на лоре аки школьник.

Думаю что тебе с каждого разведённого срача на лоре приходит перевод на счёт в банке

это на другой счёт.

По крайней мере часто тут встречаю жалобы что у кого-то что-то не работает нормально на ноутах, например.

а на винфаке жалоб уже нет, да?

Это у тебя надо спросить зачем ты постоянно провоцируешь срачи своим тупняком. Что-то ты совсем не похож на семейного человека, каким ты себя постоянно пытаешься изобразить. Время второй час ночи (да-да, я помню, ты живёшь в своём часовом поясе, несмотря на то что ты в Питере :D), а ты срёшься на лоре аки школьник.

я срусь, а компы работают. Впрочем ты прав, задачу я им поставил, раньше полудня не справятся. Пойду спать...

А что не так с временем? Чт янв 30 01:29:05 MSK 2014

а на винфаке жалоб уже нет, да?

Не знаю, не приходилось туда ходить за всё время пользования Шindoшs.

а компы работают

Это иллюзия. То что твоя слака там запускается ещё не есть работа.

А что не так с временем? Чт янв 30 01:29:05 MSK 2014

Ты вернулся на настоящий часовой пояс? („моё время отличается от астрономического и поясного.”)

Не знаю, не приходилось туда ходить за всё время пользования Шindoшs.

ты и здесь только х-ню городишь...

Ты вернулся на настоящий часовой пояс? („моё время отличается от астрономического и поясного.”)

тебе этого не понять.

Это иллюзия. То что твоя слака там запускается ещё не есть работа.

работа — просмотр ЦП у тебя?

Бедный, тебе, очевидно, IRL пообщаться не с кем :(

ты и здесь только х-ню городишь...

Кто бы говорил :D

тебе этого не понять.

Да всё тут понятно, ты не уникален,твоя паталогия давно известна науке. Куча комплексов: асоциал, нарциссизм и прочее.

работа — просмотр ЦП у тебя?

Какая разница? Бывает и такая работа, между прочим. Борющимся с ней приходится это лицезреть.

там пользователю назначаешь роль и в этой роли можно указать какие приложения можно запускать, а все остальные нельзя. вроде так.

например, гляди вот тут

http://habrahabr.ru/company/pt/blog/142423/ там найдёшь блок кода

require {
        type httpd_t;
        type httpd_sys_script_rw_t;
        class sock_file link;
        class sock_file setattr;
        class sock_file create;
        class sock_file unlink;
        class sock_file write;
}
#============= httpd_t ==============
allow httpd_t httpd_sys_script_rw_t:sock_file link;
allow httpd_t httpd_sys_script_rw_t:sock_file setattr;
allow httpd_t httpd_sys_script_rw_t:sock_file create;
allow httpd_t httpd_sys_script_rw_t:sock_file unlink;
allow httpd_t httpd_sys_script_rw_t:sock_file write;

т.е. тут мы описываем тип (httpd_t, он где-то в другом файле описан, там емнпип одна строчка для описания типа), а далее разрешаем писать определённые классы файлов (скорее всего уже чтение разрешено там где описан тип). Как то так. Ща поищу пример получше.

и насколько я знаю, если процесс оттуда вылезет, он получит рут доступ ко всему

Вроде как должен получить права пользователя под которым запущен процесс, не более того.

чёрт, да ты оптимист, я тут 30 прожил и думаю что половина то всё, тю-тю.

проблема этих решений в том, что такого же эффекта можно с лёгкостью добиться обычными unix-правами.

не совсем верно на самом деле. я бы даже сказал данное утверждение лежит где-то между «не совсем верно» и «совсем неверно».

Положим я хочу чтобы веб-сервер не имел возможности читать/запускать ничего кроме того что я разрешил лично. Если это делать обычными юникс-правами, огребёшь кучу мест где можно запнуться (вплоть до того что ядро после обновления не сможет загрузиться, после пересборки инитрамфс). А вот с selinux таких проблем не огребаешь. Второй вариант лично мне близкий - пользователь, файлы которого лежат в домашнем каталоге и их раздаёт веб-сервер. У пользователя есть каталог на запись. Ничего не мешает пользователю создать кучу каталогов на запись и я никак не проконтролирую, убрал ли он оттуда php-хендлер или нет. А с selinux он просто не может создать каталог для записи, а для тех который создал я, я прописал в httpd.conf нужные правила.
у себя в каталоге может плясать как хочет

Если это делать обычными юникс-правами, огребёшь кучу мест где можно запнуться (вплоть до того что ядро после обновления не сможет загрузиться, после пересборки инитрамфс)

имеется ввиду запрет пользователю. Пользователь не должен собирать initramfs.

Второй вариант лично мне близкий - пользователь, файлы которого лежат в домашнем каталоге и их раздаёт веб-сервер. У пользователя есть каталог на запись. Ничего не мешает пользователю создать кучу каталогов на запись и я никак не проконтролирую, убрал ли он оттуда php-хендлер или нет.

ну и что? Этот юзер — царь и бог своего каталога. Если ему хочется его раздавать — он будет его раздавать. Да, обычные unix права не позволяют частично что-то запрещать на уровне отдельных файлов. Юзеру можно всё запретить, для всех его файлов. Можно дать разрешение юзеру что-то разрешать/запрещать для его файлов.

Ext4 ещё позволяет делать append-only и immutable файлы/каталоги. Т.е. можно сделать юзеру какой-то каталог, и так он у юзера и будет висеть, нравится ему это, или нет. Также юзеру можно сделать каталог, в который он сможет только добавлять файлы.

Всего этого обычно хватает. Да, не всегда.

имеется ввиду запрет пользователю. Пользователь не должен собирать initramfs.

пользователь и не собирает. у меня httpd идёт под apache:apache. системные бинарники обычно имеют хозяина root:root

я хочу чтобы апач ничего не мог запусить, вообще. Кроме того что я ему разрешу.

Для этого я делаю что-то вроде find /{usr/bin,usr/sbin,lib,lib64} -type f -exec chmod o-x {} \;

Потом chmod o+x list_of_choosen_files_allowd_for_apache

И вроде всё неплохо, кроме того конечно что постфикс там почту не отправляет, залогиниться проблема потому что пам модули не запускаются, и т.д., короче полная жопа и разбираться с ней не так уж просто, если только не сделать rpm --set-perms или что-то вроде.

Тогда я попробовал запретить для апача через setfacl . И выгреб проблему при сборке инитрамфс после обновления ядра. Там получается что в инитрам запихивается то ли греп, то ли ещё что-то, я уже не помню, а инитрамфс не умеет расширенные атрибуты, и сборка падает.

А если разрешить греп, то можно ничего не запрещать, смысла нет.

Можно конечно покомбинировать два метода вышепредложенных. Но там опять проблема - после обновления пакеты имеют свойства востанавливать исходные права. Опять гемор.

А вот с selinux такого гемора не наблюдается пока (хотя в продакшине ещё не испытывал конфигурацию).

ну и что? Этот юзер — царь и бог своего каталога. Если ему хочется его раздавать — он будет его раздавать.

Ну и то что если веб сервер не сконфигурирован, то это потенциально опасно не только для этого пользователя, но и для всей системы. И юникс правами я не знаю как решить эту проблему. И пусть царит себе в каталоге хоть до по синения, я не против, лишь бы угроз не создавал. И вот selinux эту проблему решает. А юникс-права - не уверен (либо вообще не решают, либо геморно).

я хочу чтобы апач ничего не мог запусить, вообще.

вот это неправильная хотелка.

Ну и то что если веб сервер не сконфигурирован, то это потенциально опасно не только для этого пользователя, но и для всей системы.

в чём тут опасность?

Ну да, теперь, выходит, хотелки неправильные. Правильная хотелка это на самом деле в сколь нибудь приближённым к реальным условиям php-web-сервера.

Опасность в том что появляется простор для атаки. Так сказать flow enter point.

Если у тебя есть php и apache. И есть доступная на запись папка в которой могут выполнятся php скрипты, то у тебя потенциально есть php-шелл. Надо только найти баг в целевом скрипте. А багов сотни в поделиях вроде вордпресса и/или джумлы и т.п., А уж если там используются сторонние плагины, то имхо, вероятность залить шелл наверное процентов под 50, если не больше. Особенно неприятно что это делают даже детки (хотя это и не самое страшное, конечно).

Чтобы этого не допустить, нужно убирать обработчик php в каталогах доступных на запись веб-серверу. Но пользователи зачастую не предупреждая создают новые каталоги доступные для записи. Естественно, никто в этих новых каталогах php-хендлер не убирает. И появляется та самая угроза безопасности. А selinux не позволяет пользователю самому дать веб-серверу права на запись в произвольную папку, только в те которые я определил заранее и для которых убрал php-хендлер.

Второй уровень защиты который лично я использую, это не позволить apache выполнять никакой бинарник (кроме разрешённых). В этом случае даже залив php-шелл злоумышленник не может выполнить никаких потенциально опасных действий. Добавить apache в /etc/cron.deny, убрать sql-сервер на отдельную машину/виртуалку и можно выставлять сервер в бой. Даже если установленные скрипты на сквозь дырявые сломать такой сервер [используя баги в скриптах] будет весьма непросто.

Ну да, теперь, выходит, хотелки неправильные.

мне это было ясно много лет назад.

ну может и так... Хотя, если у криворукого одмина есть шел, то ты ему вряд-ли поможешь...

Дилафмитс ? ты ?