лишение пользователя всех прав

0

0

Или по умолчанию все тоже неплохо?

Задача насроить систему так чтобы было малореально ее поломать не имея физического доступа к системнику, но имея на этой машинке интернет (файерфокс). Есть идея убрать доступ всем на чтение со всех файлов и оставить только то что нужно файерфоксу и его плагинам. Может ктонибудь сталкивался с подобной задачей? Gcc отсутствует, но питон и перл имеются.

Ссылка

←	Проблема с postfix

exim + dspam

→

Пользователь и так тварь бесправная...

А вообще это помоему куда-то в сторону политики безопасности, групп пользователей... и выставляешь что все нельзя. а фокс оставляешь единственной директорией где все можно

как-то так наверное, хз.. это паранойя имхо.

delilen ★☆
(13.08.08 13:42:48 MSD)

Ссылка

В целом и по умолчанию не плохо, если юзеры обычные. Рутовый пароль только не раздавай и всё.

Ну и если софт какой критичный на машинке, запрети пользователю от него конфиги менять.

anonymous
(13.08.08 14:52:44 MSD)

Ссылка

Поставь мандриву, и выбери уровень безопасности параноидальный...

И будет тебе счастье, дальше хом директории он не выберется :)

deimos
(13.08.08 15:00:42 MSD)

Ссылка

noexec на /home, /tmp

Igron ★★★★★
(13.08.08 15:32:50 MSD)

Ссылка

userdel -r user_name

ну вот и все, теперь он точно ни куда не залезит!

fashka ★
(13.08.08 16:56:47 MSD)

Ссылка

selinux кури

dimon555 ★★★★★
(13.08.08 18:57:32 MSD)

Ссылка

Похоже, нужно что-то вроде kiosk-режима, когда нельзя запускать/просматривать ничего, кроме одной программы. Соответственно, браузер в chroot. Если машина только для одной цели, может иметь смысл chmod o-rxw -R /usr и т.д.

У оперы полезная функциональность есть из "коробки" http://www.opera.com/support/mastering/kiosk/

Возможно, для firefox тоже есть соответствующие плагины.

TuxR ★★★★
(13.08.08 21:44:29 MSD)

Ответ на: комментарий от TuxR 13.08.08 21:44:29 MSD

>У оперы полезная функциональность есть из "коробки" http://www.opera.com/support/mastering/kiosk/

имхо это совсем не то, что нужно топикстартеру

про o-rxw /usr - это вообще смешно

maloi ★★★★★
(13.08.08 21:54:03 MSD)

Ссылка

http://www.rhd.ru/press/news/

02.07.08

Ограничение привилегий пользователя с помощью SELinux

В on-line журнале Red Hat Magazine опубликована статья Дэна Уолша об ограничении привилегий пользователей с помощью SELinux. В качестве платформы рассматривается Fedora 9, в которой SELinux поддерживает концепцию ограниченных пользователей. В стандартной поставке определены 5 типов ограниченных пользователей:

* guest_t - Terminal login, nosetuid, nonetwork, noxwindows, noexec в каталоге пользователя * xguest_t - X Windows Login и terminal login, nosetuid, nonetwork, noexec в каталоге пользователя * user_t - X Windows Login и terminal login, nosetuid, noexec в каталоге пользователя * staff_t - X Windows Login и terminal login, nosetuid за ислкючением sudo * unconfined_t - полный доступ, как если бы SELinux был отключен.

Этот набор ограниченных пользователей неплох для начала, но что делать, если нужно создать ограниченного пользователя с другим набором привелегий? Читайте в Red Hat Magazine http://www.redhatmagazine.com/2008/07/02/writing-policy-for-confined-selinux-...

anonymous
(17.08.08 00:12:13 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблема с postfix

Admin

exim + dspam

→

Похожие темы