LINUX.ORG.RU
решено ФорумTalks

каждому екзешнику - свою группу. а есть ли такой дистрибутив?


0

1

У меня тут ( кронтаб не запускается потому что пам конфигурейтион. чего хочет? strace? ) была задачка - максимально ограничить возможности пользователя (то есть чтобы он мог запускать только кронтаб, авторизоваться и запустить php-скрипт).

так вот в контексте я подумал, что было бы не плохо для веба (когда один пользователь имеет у себя несколько скриптов/сайтов) чтобы каждая программа (или группа программ) имела бы свою группу. и чтобы в дистрибутиве по-умолчанию права на исполняемые файлы были бы 750. и чтобы разрешить пользователю то или иное приложение, нужно было бы добавить его в группу. Например, чтобы разрешить пользователю использовать imagemagic или wget. конечно, можно просто поставить права 755 на wget, но в таком случае все пользователи смогут использовать wget, а это много хуже чем один особенно если пользователей много.

Вот вопрос - не знает ли кто такого дистрибутива? Я думаю это было бы удобно для веб-хостинга.

★★★★★
DistroWatch показал уменьшение числа просмотров для (почти) всех дистрибутивов
Популярность GNU/Linux падает?

не знает ли кто такого дистрибутива?

lfs

onon ★★★
()

man sudo.

Например, чтобы разрешить пользователю использовать imagemagic или wget. конечно, можно просто поставить права 755 на wget, но в таком случае все пользователи смогут использовать wget, а это много хуже чем один особенно если пользователей много.

А если программа пользовательская? Это надо noexec на его директорию. Тогда долой cgi.

запрещать wget

тогда надо запрещать и ограничивать любое общение с внешним миром для всех разрешенных программ.

Breton
()
Ответ на: комментарий от Breton

А если программа пользовательская? Это надо noexec на его директорию. Тогда долой cgi.

А если не noexec, то всё равно всем экзешникам надо 750 давать, иначе пользователь сможет его к себе в /home скопировать и болт на ваше судо положить.

name_no ★★
()

Вот вопрос - не знает ли кто такого дистрибутива?

Кстати, мне вчера ссылку показали, возможно, она и сюда подойдёт, я успел разобраться в этом дистрибутиве: http://tomoyo.sourceforge.jp/

name_no ★★
()

а есть ли такой дистрибутив?

Кстати, я видел программу, не запомнил как называется, она при каждой установке/обновлении/удалении пакета /etc в svn коммитит. Так вот, вней используется механизм навешивания хуков на соответствующие операции в пакетном менеджере.

Ты тоже можешь использовать этот механизм, чтобы после каждой установки/обновления на все установленные файлы делать addusr, chmod и chown.

name_no ★★
()
Ответ на: комментарий от Breton

А если программа пользовательская? Это надо noexec на его директорию. Тогда долой cgi.

у меня noexec На пользовательской директории.

AndreyKl ★★★★★
() автор топика
Ответ на: комментарий от name_no

чтобы после каждой установки/обновления на все установленные файлы делать addusr, chmod и chown.

Хотя всё-таки судо будет удобнее, чем отдельная группа для каждого приложения. Сделать всем бинарникам root:root 750 и прописать всё это в sudo проще, чем для каждого бинарника заводить группу, кроме того, изменения в sudoers вступают в силу немедленно, а если через группы, то пользователю придётся перелогиниваться.

Если как следует изучить синтаксис sudoers, то он чертовский мощный. Главное — не использовать там wildcards, иначе пользователи через них начнут творить что хотят.

name_no ★★
()
Ответ на: комментарий от name_no

гм-гм.. есть в ваших словах смысл, благородный дон...

AndreyKl ★★★★★
() автор топика
Ответ на: комментарий от AndreyKl

в качестве дистрибутива советую Hardened Gentoo. Собрать тулчейн и ядро с PaX, grsecurity, RSBAC/SELinux. Подковырять политики. Настроить tripwire + snort.

XVilka ★★★★★
()
Ответ на: комментарий от XVilka

тем более, судя по контексту вопроса, рассматривается серверное применение. Я сам использую такое решение. Более того, дополнительную безопасность дает использование qemu-kvm.

XVilka ★★★★★
()
Ответ на: комментарий от name_no

Сделать всем бинарникам root:root 750 и прописать всё это в sudo проще,

sudo можно делать не в root, внезапно.

kernel ★★☆
()
Ответ на: комментарий от XVilka

да, серверное. kvm использую, на hardended сам поглядываю с интересом. может быть попробую.

AndreyKl ★★★★★
() автор топика
Ответ на: комментарий от name_no

не, acl - access control list(s) , типа прав в винде когда каждому конкретному пользователю можно назначить конкретные права на конкретный файл. что-то не найду толкового описания (сам вообще не знаком с линуксовой реализазцией), разве что вот это похоже на то что нужно http://www.yolinux.com/TUTORIALS/LinuxTutorialManagingGroups.html

AndreyKl ★★★★★
() автор топика

Я, конечно, очень боюсь ошибиться, но по-моему, /lib/ld-linux.so сильно пофигу на ваши симсотпиддесять.

$ chmod -x test
$ ./test
bash: ./test: Permission denied
$ /lib/ld-linux.so.2 test
Hello world
d_a ★★★★★
()

не знает ли кто такого дистрибутива

Слышал, что в android что-то похожее.

Shtsh ★★★★
()

екзешнику

4.2

/thread

q11q11 ★★★★★
()
Ответ на: комментарий от AndreyKl

executable files по русски на жаргоне называют екзешниками

екзешниками они называются потому что в венде исполняемые файлы имеют расширение .exe, что в линухе само по себе бред

q11q11 ★★★★★
()

и чтобы разрешить пользователю то или иное приложение, нужно было бы добавить его в группу. Например, чтобы разрешить пользователю использовать imagemagic или wget. конечно, можно просто поставить права 755 на wget, но в таком случае все пользователи смогут использовать wget, а это много хуже чем один особенно если пользователей много.

sudo

xtraeft ★★☆☆
()
Ответ на: комментарий от name_no

Помогло, теперь безопасносте. W, кстати, тоже снял, на всякий пожарный.

d_a ★★★★★
()
Ответ на: комментарий от q11q11

Это у кого как.

хотя, может быть оригинальная фраза будет вернее если записать её так:

executable files по русски на жаргоне <i>часто</i> называют екзешниками

AndreyKl ★★★★★
() автор топика
Ответ на: комментарий от XVilka

Не подскажете адекватные инструкции по SELinux?

У RH заточено под полную модель, с уровнями доступа, некоторых утилит я не нахожу в стандартном дереве портежей. У гентушников в их руководстве по hardened маловато написано и несколько бестолково.

HolyBoy
()

крактко говоря, решение acl.

всем отписавшимся по теме - спасибо.

AndreyKl ★★★★★
() автор топика
Ответ на: комментарий от HolyBoy

инструкции по настройке везде одинаковые (начиная с этапа редактирования правил). Для Hardened Gentoo есть куча selinux* правил, уже готовых

http://www.gentoo.org/proj/en/hardened/selinux/selinux-handbook.xml

http://www.gentoo.org/proj/en/hardened/selinux-development.xml

Также, велкам на #gentoo-hardened

XVilka ★★★★★
()
Ответ на: комментарий от q11q11

Предложите термин лучше. Эльф не подойдет, потому что в юниксах экзешник — это нечто большее чем бинарный модуль.

buddhist ★★★★★
()
Ответ на: комментарий от AndreyKl

executable files по русски на жаргоне <i>часто</i> называют екзешниками

executable files вендузятники всегда называют екзешниками

obvious

fixed

q11q11 ★★★★★
()
Ответ на: комментарий от buddhist

а зачем придумывать, «бинарник» и всё, причём старо как мир
и в разговоре это всегда понятно и всем известно... ну кроме ТСа
реально, это первый человек на моей памяти который эльфа назвал назвал екзешником
а так вообще «екзешник» и «бинарник» чётко определяют о какой ОСи идёт речь
равно как и «батничек» с «шел-скриптом»

q11q11 ★★★★★
()

rule over9000
и для этого есть дистрибутив.

Novell-ch ★★★★★
()
Ответ на: комментарий от buddhist

facepalm

ладно, прийдётся повториться

слово «екзешник» пришло в этот мир из венды, да и то только потому что исполняемые файлы имеют расширение ".exe", и это никак не связано с тем что файл исполняемый

кстати ".com"-файлы ! никто ! никогда ! «екзешниками» не называл, хотя они само собой исполняемые

q11q11 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
DistroWatch показал уменьшение числа просмотров для (почти) всех дистрибутивов
Talks
Популярность GNU/Linux падает?