Как запретить пользователю делать смену пользователя?

Никак кроме диверсии назвать ЭТО язык не поворачивается. Мне хочется верить, что это не злой умысел, а просто человеческая глупость.

Какая там глупость, не будте наивными.

systemd, dbus, polkitd+JS, BPF в ядре – все это классическая диверсия против GNU/Linux.

Навредил и сбежал к хозяйвам: https://www.opennet.ru/opennews/art.shtml?num=57464

А зачем? У большинства - они единственные пользователи системы. У меня только подо мной можно войти (логин под рут залочен) и только я могу sudo выполнять

Будто Red Hat чем-то лучше Microsoft или Google

чтоб отказаться от паролей и одновременно защититься от опасных программ (браузер, wine — будут работать от другого пользователя).

Это не в dbus, а udev правила надо писать

да, точно. что-то я перепутал dbus и udev.

https://wiki.gentoo.org/wiki/Allow_only_known_usb_devices

на сколько понимаю, это не то. мне нужно чтобы если в компьютере уже есть одна клавиатура, подключение второй было бы невозможно.

лучше в таком случае и от systemd избавиться

в моей системе нет ни systemd, ни polkit, ни sudo, ни PAM (лишняя прослойка, всё равно мне от неё ничего не надо).

Если запущен X11 то он может перехватывать все нажатия на клавиатуру, зависит от настроек конкретного X11.

да, запущен. Как в иксах настроить, чтобы при нажатии кнопки питания и ctrl+alt+del посылались соответствующие сигналы иниту?

Просто через флутпак поставь. Вот тебе и песочница

А у вас какой дистр?

просто смысл в том, что я не хочу вводить пароли, в том числе и для рута. также в системе обычные пользователи никак не должны повышать привелегии, т.е. обычный пользователь не должен иметь возможность стать рутом или каким-то другим пользователем.

CRUX

да напиши ты в Ирку пацанам про свою хотелку, подскажут. https://crux.nu/Main/IrcChannels

https://wiki.gentoo.org/wiki/Allow_only_known_usb_devices

на сколько понимаю, это не то. мне нужно чтобы если в компьютере уже есть одна клавиатура, подключение второй было бы невозможно.

Это именно то, даст гарантию что к твоему компьютеру подключена именно твоя клавиатура, и никакая чужая клава не подключится.

ЗЫ: лично PAM и tcpd считаю очень полезными и нужными.

Одна авторизация с плюшками, например в PAM есть поддержка CAP и не надо каждому приложению поддерживать свою авторизацию, можно слинковатся с libpam.

По уаналогии использование tcpd даст дополнительную фильтрацию и не надо каждому приложению писать поддержку сети, можно слинковатся с библиотеками tcpd.

Это именно то, даст гарантию что к твоему компьютеру подключена именно твоя клавиатура, и никакая чужая клава не подключится.

просмотрел ещё раз статью, так и не понял, как там распознаётся своя/чужая? по серийному номеру?

Не только по серийному, можно фильтровать по всем параметрам с вывода:

``udevadm info -a -p /sys/bus/usb/devices/3-1`

Например предлагаю: производителя, модель, серийник, название продукта, класс. Можно добавлять и удалять свои параметры фильтрации подключаемых устройств.

#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
extern char **environ;
int main(int argc, char **argv) {
  argv[0] = "/usr/local/sbin/wrapped_script.sh";
  execve("/usr/local/sbin/wrapped_script.sh", argv, environ);
  fprintf(stderr, "execve(/usr/local/sbin/wrapped_script.sh) error %d (%s)\n", errno, strerror(errno));
  return -1;
}

то ли я что-то делаю не так...
скопировал содержимое в a.c, заменил путь к скрипту. сделал make a. сделал права

-rwsr-sr-x 1 root root 16256 May 19 04:56 "a"

Шелл оказывается в целях защиты от случайных ошибок откатывает setuid если обнаруживает его. В скрипте первую строку сделай #!/bin/sh -p чтоб он этого не делал.

спасибо.

А, ещё забыл. Если из этого скрипта будешь вызывать другие - они себе так же откатят setuid если у них не указано -p. Это поведение в целом можно убрать, если в программе-обёртке в начало вставить setuid(0);. Но тогда будет другая проблема: поскольку информацию про сделанный setuid мы затёрли, узнать из скрипта какой юзер его на самом деле запустил уже не получится. В итоге есть разные варианты с тем, прятать ли setuid и если прятать, то когда, а так же с тем. кто и когда будет проверять права юзера-запускателя на выполнение действия. Главное - что проверить надо раньше чем затирать инфу о юзере.

Не нужно.

как оказалось, если в скрипте делать exec /bin/bash, то оно также откатывает setuid, даже если в самом скрипте указано -p. пришлось прописать setuid(0);
как мне теперь на C узнать какой юзер запустил программу-обёртку и как передать это в качестве аргумента скрипту?
ещё такой вопрос:
я хотел сделать программе-обёртке такие права для безопасности:
---Sr-x--- 1 root user 27 May 19 12:20 «suid_bash»
но программа не хочет запускаться от user, пока я не дам others права на чтение и исполнение, почему так?

как оказалось, если в скрипте делать exec /bin/bash, то оно также откатывает setuid, даже если в самом скрипте указано -p

Думаю надо exec /bin/bash -p чтоб исправить это. Если не поможет или не хочешь, то способ ниже, но он длиннее.

пришлось прописать setuid(0); как мне теперь на C узнать какой юзер запустил программу-обёртку и как передать это в качестве аргумента скрипту?

Например вот:

#define _GNU_SOURCE
#include <stdio.h>
#include <unistd.h>

int main(void) {
  uid_t u1,u2,u3,u4,u5;
  u1 = getuid();
  u2 = geteuid();
  getresuid(&u3,&u4,&u5);
  printf("getuid() = %ld (caller uid)\n", (long)u1);
  printf("geteuid() = %ld (effective uid from suid flag)\n", (long)u2);
  printf("getresuid() = %ld %ld %ld (caller, effective, saved)\n", (long)u3, (long)u4, (long)u5);
  return 0;
}

geteuid() - это текущий действующий uid

третье число из getresuid() - это uid, на который было сделано переключение setuid-битом (он нужен для того чтоб setuid прога могла сначала понизить себе права до вызывателя а затем опять активировать повышенные, которые в нём запомнены)

setuid(), вызванный рутом, меняет все три числа. Чтобы менять только второе (не затирая информацию о setuid-бинарнике) есть сисколл seteuid().

Тебе проще всего вызвать getuid() а затем сделать setuid(0).

Передать аргументы, которых больше чем было изначально - немного муторно, т.к. придётся делать новый массив для них (в старом места под ещё один нет). Можно так:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>

char ** merge_args(int argc, char **argv, char const *new_progname, size_t add_argc, char **add_argv) {
  size_t a, b;
  int i;
  char **args;
  i = a = ((size_t)argc) + add_argc + 2;
  if(argc<0 || i<=0 || a!=(size_t)i || a<2 || a-2<add_argc || (int)(a-2-add_argc)!=argc) { fprintf(stderr, "bad number of arguments (hack attempt)\n"); return NULL; }
  b = a*sizeof(char*);
  if(b/sizeof(char*)!=a || !(args = malloc(b))) { fprintf(stderr, "out of memory (too many arguments?)\n"); return NULL; }
  args[0] = (char*)new_progname;
  b = 1;
  if(add_argc) {
    memcpy(args+b, add_argv, add_argc*sizeof(char*));
    b += add_argc;
  }
  if(argc>=2) {
    memcpy(args+b, argv+1, ((size_t)(argc-1))*sizeof(char*));
    b += (argc-1);
  }
  args[b] = NULL;
  return args;
}

extern char **environ;
int main(int argc, char **argv) {
  char uidstr[50];
  char *add_argv[1];
  char **args;
  snprintf(uidstr, sizeof(uidstr), "%ld", (long)getuid());
  setuid(0);
  add_argv[0] = uidstr;
  if(!(args = merge_args(argc, argv, "/usr/local/sbin/wrapped_script.sh", 1, add_argv))) return -1;
  execve("/usr/local/sbin/wrapped_script.sh", args, environ);
  fprintf(stderr, "execve(/usr/local/sbin/wrapped_script.sh) error %d (%s)\n", errno, strerror(errno));
  return -1;
}

но программа не хочет запускаться от user, пока я не дам others права на чтение и исполнение, почему так?

По хорошему достаточно ---S--x--- (я проверил). Наверно потому что тот, кто пытается запустить, не состоит в группе «user». На всякий случай: настройки групп из /etc/passwd и /etc/group применяются только при логине и программами типа su, которые вручную их читают и применяют. Если ты переключался на юзера с помощью setuid-бинарника или с помощью сисколла setuid() то группы у него остаются те же что были до переключения. Если хочешь вручную прописывать группы то это делается через setgid() для основной и setgroups() для списка дополнительных.

Думаю надо exec /bin/bash -p чтоб исправить это.

Проблема в том, что приходится для всех дочерних скриптов тоже -p делать, не подходит.

По хорошему достаточно ---S--x--- (я проверил). Наверно потому что тот, кто пытается запустить, не состоит в группе «user»

Как оказалось, пришлось добавить user'a в группу user чтоб заработало. Странно, но раньше не сталкивался с таким, думал что user и так состоит по-умолчанию в своей дефолтной группе.
Но как оказалось, не факт, что мне нужна такая группа на обёртке (можно через ACL ограничить запуск только для user), т.к. оказалось нужно ещё чтобы группа рута тоже наследовалась. Но я попробовал повесить на обёртку sgid — не наследуется. Юзер (suid) наследуется, группа не наследуется, остаётся user. Не знаю почему, возможно где-то в системе настроил что-то для безопасности, пока не знаю куда смотреть. Пришлось прописать sg в скрипте.
Пока оставил первоначальный вариант обёртки + setuid(0);, группу user на обёртке + sg в скрипте. Работает.

ещё вопрос про библиотеки. обнаружил дыру в своей системе — fakeroot может запускать какой угодно пользователь, понасоздавать суидных программ с владельцем root (fakeroot же такое позволяет, правильно?). пофиксил права на бинари и библиотеки фэйкрута.

есть ли в системе ещё какие-то библиотеки, к которым следует ограничить права доступа?

и вроде как ведь можно запускать библиотеки, указавв в качестве аргументов определённые точки входа... на сколько это безопасно? тут несколько лет назад в теме про вопрос, что делать, если сделал chmod -x /bin/chmod, писали, что можно выполнить какую-то системную библиотеку с определёнными аргументами, которая выполнит нужный вызов chmod для восстановления прав доступа на запоротый /bin/chmod.

fakeroot никаких прав не выдаёт, он только делает чтобы прога думала будто у неё есть эти права, если она без них ломается. То есть она может, для себя, создавать всякие suid-root, но работают они только в её «воображении», и никаких реальных доступов на самом деле не дают. Это же юзерспейсная библиотека, она в принципе никак не может никакие права добавить.

какую-то системную библиотеку

ld.so/ld-linux.so/ld-linux-x86-64.so.2

с определёнными аргументами

С полным именем файла-бинарника.

на сколько это безопасно?

Не знаю, но попробуйте снять с них eXecute permission bit, но только сначала статический слинкованый busybox подготовьте...

Все разделы содержащие каталоги доступные для записи не только root пользователю должны монтироваться с опциями nodev, noexec, nosuid!

Есть стандартные тесты, которые тестируют систему и дают сразу рекомендации: lynis https://cisofy.com/lynis/

Хороший пример результата простого теста: https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309

# cp --preserve=all /bin/ls /tmp
# /bin/ls
работает
# /tmp/ls
-bash: /tmp/ls: Permission denied

# /lib/ld-linux-x86-64.so.2 /bin/ls
работает
# /lib/ld-linux-x86-64.so.2 /tmp/ls
/tmp/ls: error while loading shared libraries: /tmp/ls: failed to map segment from shared object

При этом у меня все библиотеки в /lib /usr/lib есть исполняемы. Кажется библиотеки в GNU/Linux и должны быть исполняемы? Может ядро смотрит на x-бит и мапит в память на исполнение, без него может не дать права исполнятся в памяти коду с этой библиотеки???

попробуйте снять с них eXecute permission bit

Когда то пробовал, что-то не работало, некоторые либы в Linux таки хотят исполнятся. Это дело разрабов дистрибутива, а не пользователя.

некоторые либы в Linux таки хотят исполнятся

ld.so — это не некоторая либа, она важная и если её сломать, то будут сложности с запуском динамически слинкованых бинарников...

После этой фразы:

должны монтироваться с опциями nodev, noexec, nosuid

могли бы не постить про ld.so.

Selinux, ставь на Unix пользователя selinux пользователя user_u и нельзя будет сменить пользователя вообще.

nodm - на 7 терминале стартуешь иксы под обычным юзером у которого нет sudo/su

nodm - на 8 терминале стартуешь рутовый xterm

хоткеи alt+ctrl+F7 alt+ctrl+F8

профит!