LINUX.ORG.RU

Как скрыть пользователей друг от друга?

 


0

4

Как скрыть процессы пользователей нагуглил:

mount -o remount,rw,hidepid=2 /proc

Осталось последнее(?), чтобы обычные юзеры не смогли смотреть других юзеров системы, т.е. нужно, что-то типа:

ll /home
Выдавал только самого себя, и:
cat /etc/passwd
Не выдавал других юзеров.

Или это не нужно для безопасности linux и так сойдет, пусть хацкор сразу видит всех юзеров системы, даже из под какого-нибудь анонимуса?

★★★★★

Ответ на: комментарий от anonymous

Понятно, что контейнеры, но мне это не нужно. Мне нужно на одной системе скрыть юзеров друг от друга - я очень многого хочу?

foror ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Нет, я конечно не против, если это можно сделать как-то через cgroups и другими фичами в новых ядрах. Но мне не нужно под каждого юзера инсталить новый дистриб линуха.

foror ★★★★★
() автор топика

Ну если у тебя авторизация в SSH по ключам, то в принципе знание имён пользователей ничего не даст. Разумеется, если у тебя права на хомяки нормально настроены и юзеры не могут ходить друг к другу в гости.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

знание имён пользователей ничего не даст

Знание имен создаст раздолье для социальной инженерии. Достачно будет загуглить никнеймы юзеров, кто-нибудь да всплывет на каком-нибудь linug.org.ru, а дальше дело техники.

foror ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Именовать пользовательские директории не именем пользователя.

Не очень удобно для конечного пользователя, хотя как костыльный вариант прокатит.

foror ★★★★★
() автор топика
Ответ на: комментарий от Pinkbyte

Например SELinux или GrSecurity.

Ну это как-то все сложно. Нужно-то просто, чтобы юзеры не видели друг-друга.

скрыть хомяки пользователей недостаточно

Ну так доскрыть остальное, чтобы было достаточно? Или легаси линуха не позволит, всё доскрыть?

foror ★★★★★
() автор топика
Ответ на: комментарий от jori

«Один сайт - один ник»

Не распарсил, заложено несколько смыслов. Разъясните, пожалуйста, подробнее.

foror ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Толку? Список пользователей и список их домашних каталогов можно получить из /etc/passwd, который должен быть доступен при работе.

YAR ★★★★★
()
Ответ на: комментарий от YAR

Список пользователей и список их домашних каталогов

Ну можно пойти дальше и регистрировать юзеров с логинами из http://fantasynamegenerators.com/ Но как я и говорил, это нужно будет запоминать свой новый никнейм, что неудобно. Да и потом, кто-нить начнет еще его юзать публично.

foror ★★★★★
() автор топика

Или это не нужно для безопасности linux

Ты что! Что за ересь! Весь мир был уязвим, но тут на белом коне примчался ты и повел нас за собой в светлое и безопасное будущее!

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Ты что! Что за ересь! Весь мир был уязвим, но тут на белом коне примчался ты и повел нас за собой в светлое и безопасное будущее!

Не передергивай, вопрос был задан в плане ок это или не ок. Т.е. своим сарказмом, хочешь сказать, все ок?

foror ★★★★★
() автор топика
Ответ на: комментарий от foror

Не передергивай, вопрос был задан в плане ок это или не ок. Т.е. своим сарказмом, хочешь сказать, все ок?

именно так, всё ок, можешь забить

mega_venik ★★★
()
Ответ на: комментарий от mega_venik

Тоже верно, если уж заполучил шел, то проще сразу 0-day эксплоит купить, чем там разбираться у какого юзера есть доступ к нужным данным и прочей соц. инженерией.

foror ★★★★★
() автор топика
Ответ на: комментарий от foror

Нужно-то просто, чтобы юзеры не видели друг-друга.

Что значит в твоём понимание «не видели друг друга»? Тебе уже насоветовали как минимум 2 стопроцентных решения - контейнерная(или полная) виртуализация или мандатная система контроля доступа

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Это как прийти в магазин и спросить стопари для велосипеда. А тебе предлагают либо купить автомобиль, либо прорабатывать маршрут движения, не попадая в вечерние или ночные часы. А кто и вообще говорит: Езжу без стопорей и еще жив.

foror ★★★★★
() автор топика
Ответ на: комментарий от foror

Нет, это как прийти в магазин чтобы купить компьютер и на вопрос «какой?» ответить «главное чтобы был красненький»

Постановка задачи именно настолько неопределенная. И поэтому предлагаются решения, которые 100% её покроют. Возможно тебе нужно что-то проще, но ты не уточняешь задачу - вот тебе и советуют то, что точно поможет.

Pinkbyte ★★★★★
()
Ответ на: комментарий от foror

Ну извини, магии нет. Пока нет магии используй контейнеры или RBAC.

Также можешь начать разработку решения под твою задачу, заодно поможешь другим людям, которые столкнулись с такой же проблемой, но не начали рарзработку сами.

feanor ★★★
()
Ответ на: комментарий от foror

На самом деле здесь сработает chroot или какая-либо песочница на его основе c персональным passwd.

ABW ★★★★★
()
Ответ на: комментарий от Pinkbyte

Постановка задачи именно настолько неопределенная.

Постановка задачи в топике довольно определенна. Её можно свести к более общему: Если директория принадлежит другому юзеру, то текущий юзер не должен её как-либо увидеть в системе. Ну и также обычные юзеры не должны видеть /etc/passwd со списком всех юзеров с шелом.

Я конечно не спец по линуху и может есть другие маркеры в системе, по которым можно вычислить юзеров с шеллом. Но пока задача обозначена как я её вижу, относительно моих знаний.

foror ★★★★★
() автор топика
Ответ на: комментарий от feanor

Также можешь начать разработку решения под твою задачу, заодно поможешь другим людям, которые столкнулись с такой же проблемой, но не начали рарзработку сами.

Так я сначала спросил, может есть какие-то решения, чтобы не изобретать велосипед. Надо еще погуглить тщательнее, но на англоязычных ресурсах не предлагают каких-то решений этой задачи, на первый взгляд.

foror ★★★★★
() автор топика
Ответ на: комментарий от foror

обычные юзеры не должны видеть /etc/passwd

Это наверно можно сделать простым запретом на чтение всем, кроме рута (или это что-то сломает?), а так — Pinkbyte вроде правильно говорит.

Klymedy ★★★★★
()
Ответ на: комментарий от Klymedy

или это что-то сломает?

Многие утилиты при работе читают файлик. Пример: ls при отображении списка файлов запрашивает список пользователей, чтобы отобразить имена вместо UID'ов.

YAR ★★★★★
()
Ответ на: комментарий от Klymedy

Это наверно можно сделать простым запретом на чтение всем

Да всем не надо, нужно понять каким утилиткам нужен этот /etc/passwd и поместить их всех в отдельную группу, которой и дать доступ на чтение.

Для этого видимо нужно прогнать core-utils на regexp: /etc/passwd или оно там константой зашито?

foror ★★★★★
() автор топика

cat /etc/passwd

Можно сделать alias в bashrc, чтобы cat /etc/passwd, был вовсе не cat /etc/passwd, a cat /etc/passwd | sed что-то там и выдавал только определённые строчки. При этом как-нибудь хитро зашифровать (например, как односторочник на perl) это всё, чтобы пользователь не понял (если он в состоянии понять).

sudopacman ★★★★★
()
Ответ на: комментарий от foror

нужно понять каким утилиткам нужен этот /etc/passwd и поместить их всех в отдельную группу, которой и дать доступ на чтение

Не надо изобретать SELinux.

Klymedy ★★★★★
()
Ответ на: комментарий от sudopacman

Плохая защита, негодная. Пользователь может вместо cat воспользоваться любой другой программой.

Klymedy ★★★★★
()
Ответ на: комментарий от Klymedy

А вот с сокрытием чужих файлов это походу в readdir надо залазить и править сырцы.

foror ★★★★★
() автор топика
Ответ на: комментарий от Klymedy

Не надо изобретать SELinux.

Не нужно усложнять систему. Чем меньше сущностей, тем лучше. Все, что я предложил делается стандартными средствами системы и небольшим bash скриптом.

foror ★★★★★
() автор топика
Ответ на: комментарий от foror

Все, что я предложил делается стандартными средствами системы и небольшим bash скриптом.

То, что ты предложил, работает против нелюбознательных дебилов.

tailgunner ★★★★★
()
Ответ на: комментарий от foror

«Я не знаю, как это делается, но уверен, что это можно сделать без SELinux»?

стандартными средствами

Чем SELinux не стандартен? Он сделан как раз для таких задач.

Klymedy ★★★★★
()
Ответ на: комментарий от foror

Почти. Это как прийти в магазин и попросить глушитель для велосипеда. Тебе, естественно, предложат купить автомобиль, пердеть потише или и вовсе раскатывать без глушителя вовсе.

t184256 ★★★★★
()

Ты так и не сказал, откуда у тебя «хацкор» и почему твоя главная проблема — то, что он (о боже) может видеть других пользователей системы? Ну нагородишь ты великов на /etc/passwd, ну «увидит» он их другими способами. Чего ты добьешься-то? Накой тебе это сдалось вообще?

t184256 ★★★★★
()

Логинить через домен, домашние директории монтировать по сети по сгенерированным одноразовым путям.

d_a ★★★★★
()

Это не нужно для безопасности linux, и так сойдет, пусть хацкор сразу видит всех юзеров системы.

thesis ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.