Запрет пользователям запускать программы

0

3

дистрибутив Ubuntu 16.04.1 LTS

По умолчанию права, например, на утилиту /bin/ping такие: -rwxr-xr-x 1 root root 44168 май 7 2014 ping

Я убираю для others биты r и x Назначаю группу admins

И при запуске от пользователя, который находится в группе admins я получаю ошибку: ping: icmp open socket: Operation not permitted

Я возвращаю всё назад и под обычным своим пользователем получаю ошибку.

Погуглив я нахожу решение - это проставление бита s если это сделать, то ping работает от обычного пользователя.

Но почему до этого всё работало без SUID bit?

Задача - сделать так, чтобы определенные программы запускались только от администратора, от группы администраторов.

Ссылка

←	Взлом сервера

Как сделать плавным переход на Let's Encrypt?

→

Посмотри как сделано в дебиане. Например, fdisk, shutdown/halt/reboot — при запуске от пользователя оболочка просто ругается, что их «нет в природе».

mandala ★★★★★
(02.10.16 19:55:26 MSK)
Последнее исправление: mandala 02.10.16 19:55:44 MSK (всего исправлений: 1)

Ответ на: комментарий от mandala 02.10.16 19:55:26 MSK

Там просто /sbin нет в path, это совсем не выход.

alozovskoy ★★★★★
(02.10.16 20:08:13 MSK)

Ссылка

Ответ на: комментарий от mandala 02.10.16 19:55:26 MSK

Полагаю, что это из-за того, что fdisk, shutdown/halt/reboot лежат в /sbin, который пользователю в PATH не вписан.

alinak86 а покажи ещё
getfacl /bin/ping
и
getcap /bin/ping

imul ★★★★★
(02.10.16 20:15:44 MSK)

Ссылка

Пингу нужен либо CAP_NET_RAW, либо права рута — иначе он не сможет слать ICMP пакеты. Ты своими телодвижениями сбросил капы, и CAP_NET_RAW отвалился — поэтому у тебя без суида и перестало работать.

Убери суид бит, поставь права как надо, и поставь CAP_NET_RAW. И будет тебе хорошо.

ChALkeR ★★★★★
(02.10.16 21:31:08 MSK)
Последнее исправление: ChALkeR 02.10.16 21:31:56 MSK (всего исправлений: 1)

Ответ на: комментарий от ChALkeR 02.10.16 21:31:08 MSK

Прикольно, даже не знал про такую вещь как capabilities у файлов.

Почему-то в учебниках по никсам много пишут про юникс-права, группы, пользователи, а о таких вещах надо случайно узнавать.

praseodim ★★★★★
(03.10.16 17:19:28 MSK)

Ответ на: комментарий от praseodim 03.10.16 17:19:28 MSK

очень древние учебники, значит. А если в новых про это писать - то как курсы продавать?

legolegs ★★★★★
(03.10.16 17:35:30 MSK)
Последнее исправление: legolegs 03.10.16 17:35:58 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от praseodim 03.10.16 17:19:28 MSK

Потому что capabilities относительно (очень относительно) свежие (и нужны в т.ч. для того, чтобы рутовый суид каждому пингу не давать), а твои учебники по никсам написаны в очень хвостатые года.

ChALkeR ★★★★★
(03.10.16 17:35:41 MSK)