Отключить возможность пользоваться компилятором

0

0

Кто-то говорил, что на серваке держать компилятор - убийстенно. Можно ли запретить всем пользователем, кроме root, пользоваться компилятором? И как?

Ссылка

←	RSBAC vs RBAC

NMP 0.9.8 holes

→

chmod 700 /usr/bin/gcc
chmod 700 /usr/bin/g++
chmod 700 /usr/lib/gcc
chmod 700 /usr/include

Cosmicman ★★
(11.06.04 15:51:48 MSD)

Ответ на: комментарий от Cosmicman 11.06.04 15:51:48 MSD

>chmod 700 /usr/bin/gcc >chmod 700 /usr/bin/g++ >chmod 700 /usr/lib/gcc >chmod 700 /usr/include

не самый интерестный вариант ибо при первом же апдейте права вернуться на свои места

anonymous
(11.06.04 17:32:38 MSD)

Ответ на: комментарий от anonymous 11.06.04 17:32:38 MSD

ну мля, зделай sh-скрипт и запускай его после апгрейда

Cosmicman ★★
(11.06.04 17:48:46 MSD)

Ссылка

Ответ на: комментарий от anonymous 11.06.04 17:32:38 MSD

# cat <<EOT >>/etc/crontab

* 01 * * * root chmod 700 /usr/bin/gcc; chmod 700 /usr/bin/g++; chmod 700 /usr/lib/gcc; chmod 700 /usr/include
EOT

? ;)

Более серьёзный вариант - поставить gcc не в /usr/bin, а в домашний каталог рута (~root/bin).

anonymous
(11.06.04 17:48:48 MSD)

Ссылка

Всё гениальное просто ;)

Selecter ★★★★
(11.06.04 19:44:59 MSD) автор топика

Ссылка

>Можно ли запретить всем пользователем, кроме root, пользоваться компилятором? И как?

Не проще ли не держать там компилятор вообще? Если надо что-то скомпилить - поставил компилер, скомпилил софтину, удалил компилятор. И не надо заморачиваться с правами... Или тебе очень часто позарез надо на серваке что-либо компилировать?

bsh ★★★
(12.06.04 05:37:33 MSD)

Ответ на: комментарий от bsh 12.06.04 05:37:33 MSD

Тогда уж лучше компилировать на другой машине, а готовые бинарники кидать на сервер.

anonymous
(12.06.04 13:54:23 MSD)

Ответ на: комментарий от anonymous 12.06.04 13:54:23 MSD

>Тогда уж лучше компилировать на другой машине, а готовые бинарники кидать на сервер.

Тоже вариант.

bsh ★★★
(12.06.04 15:09:55 MSD)

Ссылка

А какая-же опсаность его там держать? Что-то сижу, думаю, не могу придумать.

viruzzz
(24.06.04 09:25:39 MSD)

Ответ на: комментарий от viruzzz 24.06.04 09:25:39 MSD

> А какая-же опсаность его там держать?

Большинство руткитов после пролома машины компилируют свои ядерные модули для собственного сокрытия. Нет компилятора -- руткит не может замаскироваться (если только не таскает с собой уже собранные модули для данной версии ядра).

Obidos ★★★★★
(24.06.04 11:54:03 MSD)

Ответ на: комментарий от Obidos 24.06.04 11:54:03 MSD

Интересная логика :-) А не лучше ли тогда строить защиту так, чтоб никто не смог закинуть rootkit ??? Потому как снова логика простая - закинули rootkit, значит могут закинуть и компилятор. А еще, если ломали не ламеры, то я думаю они смогут узнать и версию ядра и все остальное и скомпилить rootkit под это на стороне. Или я в чем-то жестоко ошибаюсь ?

spirit ★★★★★
(25.06.04 23:54:04 MSD)

Ответ на: комментарий от spirit 25.06.04 23:54:04 MSD

> А не лучше ли тогда строить защиту так, чтоб никто не смог закинуть rootkit ?

Хорошая оборона - глубокая оборона. Защита должна быть многоэшелонной. Потому как если машина в сети светится, то значит её потенциально можно сломать, как ни защищайся. Поэтому - закрыть все ненужные порты, все светящиеся в сети сервисы - в chroot, компилятор (и вообще все ненужные проги) убрать, если есть возможность, то дополнительные security-патчи на ядро (типа неисполняемого стека).

watashiwa_daredeska ★★★★
(26.06.04 08:38:17 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	RSBAC vs RBAC

Security

NMP 0.9.8 holes

→

Похожие темы