История изменений
Исправление AndreyKl, (текущая версия) :
угу, нашёл
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6...
ещё есть allow_guest_exec_content, allow_xguest_exec_content, allow_staff_exec_content (ну и allow_user_exec_content)
описывается так:
Not allowing Linux users to execute applications (which inherit users' permissions) in their home directories and /tmp/, which they have write access to, helps prevent flawed or malicious applications from modifying files that users own. In Red Hat Enterprise Linux 6, by default, Linux users in the guest_t and xguest_t domains cannot execute applications in their home directories or /tmp/; however, by default, Linux users in the user_t and staff_t domains can.
Т.е. как раз то что тебе нужно (заодно и tmp/shm и прочие радости закроет, а то ты домашнюю подмонтируешь c noexec, а про что нибудь из /tmp, /var/tmp, /dev/shm забудешь как пить дать)
Ну и обрати внимание что по умолчанию guest_t и xguest_t не могут запускать , т.е. можно пользователю назначить роль xguest_u.
По умолчанию роли не назначаются вроде, если я ничего не путаю, поэтому когда создаёшь пользователя надо делать так
# useradd -Z xguest_u -U -m unameну или вот так можно если уже создал
# semanage login -a -s xguest_u created_user_nameесли то что я сказал совсем не понятно (если новичёк, прости не знаю твоей квалификации), сделай так
# semanage login -a -s user_u username
# setsebool -P allow_user_exec_content off
где username имя пользователя которому хочешь запретить
Исходная версия AndreyKl, :
угу, нашёл
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6...
ещё есть allow_guest_exec_content, allow_xguest_exec_content, allow_staff_exec_content (ну и allow_user_exec_content)
описывается так:
Not allowing Linux users to execute applications (which inherit users' permissions) in their home directories and /tmp/, which they have write access to, helps prevent flawed or malicious applications from modifying files that users own. In Red Hat Enterprise Linux 6, by default, Linux users in the guest_t and xguest_t domains cannot execute applications in their home directories or /tmp/; however, by default, Linux users in the user_t and staff_t domains can.
Т.е. как раз то что тебе нужно (заодно и tmp/shm и прочие радости закроет, а то ты домашнюю подмонтируешь c noexec, а про что нибудь из /tmp, /var/tmp, /dev/shm забудешь как пить дать)
Ну и обрати внимание что по умолчанию guest_t и xguest_t не могут запускать , т.е. можно пользователю назначить роль xguest_u.
По умолчанию роли не назначаются вроде, если я ничего не путаю, поэтому когда создаёшь пользователя надо делать так
# useradd -Z xguest_u -U -m unameну или вот так можно если уже создал
# semanage login -a -s xguest_u created_user_nameесли то что я сказал совсем не понятно, сделай так
# semanage login -a -s user_u username
# setsebool -P allow_user_exec_content off
где username имя пользователя которому хочешь запретить