LINUX.ORG.RU

как запретить руту менять пароль ?


0

0

т.е. по сути задача сводится к следующему. система устанавливается, настраивается, создаются необходимые пользователи. Потом желательно сделать так, чтобы пароль рута нельзя было сменть (=запретить руту писать в passwd/shadow). и вообще, можно ли запретить руту выпольнять какие либо функции (запись чтение). Или это возможно только на уровне ядра (кто слышал про подобные вещи ?). А то было-бы очень удобно на сой взгляд. Например, в ядро в компилена подобная функция, запрещающая писать руту куда бы-то ни было, кроме скажем /tmp /var/ + читать, запускать, что-то определенное - которая включается, когда система запущена в многопользовательском режиме. тогда даже если злоумышленник получит рута на машине он ничего не сможет сделать.


смотри faq на предмет аттрибута IMMUTABLE

(этот аттрибут есть только в ext*fs)

lb
()

1. chattr +i /etc/passwd
2. RSBAC

saper ★★★★★
()

Есть такая вещь полезная, как Linux Intrusion Detection System, www.lids.org. Это патч для ядра. И прога выполняющая администрирование. С помощью этой системы можно не только запретить пароль менять, а еще и скрывать сетевые соеджинения, процессы в списке процессов, запрещать доступ к каталогам и файлам. Короче, лучше на сайт зайди - там много всего есть полезного.

Temich
()

2 Saper man chattr ... A file with the `i' attribute cannot be modified: it can- not be deleted or renamed, no link can be created to this file and no data can be written to the file. Only the superuser can set or clear this attribute.

так что ... это не поможет

Green
()

2Green: есть еще разные ядра с разными capabilities ...

saper ★★★★★
()
3 июля 2002 г.

А у фри есть специальный секурный режим, включается с помощью sysctl. В этом режиме даже рут не может ничего менять в системе.

anonymous
()
Ответ на: комментарий от anonymous

Который зключается в поднятии нескольких Capabilites, и в общем-то эквивалентен Linux.

ivlad ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.