Задача для AppArmor SE Linux ?

0

1

Всем доброго дня!

Задач проста - для даного юзера в системе разрешить ему доступ в все подкаталоги текущего каталога, кроме одного.

На ум сразу приходит решение с setfacl, чтобы не мудрить с chmod, но может есть способ на уровне сабжа запретить для юзера stat по нужному пути?

Ссылка

←	Automount usb-hdd

PPTP клиент на Oracle free VPS не подключается.

→

AppArmor SELinux ?

Вообще это для ограничения программ.

разрешить ему доступ в все подкаталоги текущего каталога, кроме одного

При чём тут текущий каталог? Т.е. разрешение/запрет должны работать в зависимости от того, куда указывает /proc/self/cwd/?

ls-h ★★★★★
(27.01.22 15:13:00 MSK)

Ответ на: комментарий от ls-h 27.01.22 15:13:00 MSK

Т.е. разрешение/запрет должны работать в зависимости от того, куда указывает /proc/self/cwd/

Ну это крайний случай, но его можно рассмотреть)

~~Twissel~~ ★★★★★
(27.01.22 15:15:46 MSK) автор топика

Ответ на: комментарий от ls-h 27.01.22 15:13:00 MSK

Кстати, где-то нагуглил просто предложение отключить юзеру stat через selinux, но... не знаю бредовенько все это.

~~Twissel~~ ★★★★★
(27.01.22 15:16:48 MSK) автор топика

Ссылка

Ответ на: комментарий от Twissel 27.01.22 15:15:46 MSK

Ну это крайний случай, но его можно рассмотреть)

Пример бы какой-то... Я правильно понимаю, что пользователь не должен иметь возможность зайти в директорию secret, вне зависимости от того, где она находится? В этом был смыл упоминания текущего каталога? Получается ограничение доступа просто по имени. И надо избежать выставления прав на все директории secret? Или всё же можно поставить права на сами директории?

ls-h ★★★★★
(27.01.22 15:28:54 MSK)
Последнее исправление: ls-h 27.01.22 15:29:29 MSK (всего исправлений: 1)

Ответ на: комментарий от ls-h 27.01.22 15:28:54 MSK

Получается ограничение доступа просто по имени

Да, таким образом.

Пускай будет, если имя secret, пользователю foo она недоступна.

~~Twissel~~ ★★★★★
(27.01.22 15:30:00 MSK) автор топика
Последнее исправление: Twissel 27.01.22 15:31:45 MSK (всего исправлений: 2)

Ответ на: комментарий от Twissel 27.01.22 15:30:00 MSK

Да

И я так понимаю, что такие директории могут быть созданы, так сказать, внезапно? В этом и есть смысл запрета именно по имени?
Я думаю, тут простое решение это bash скрипт с «while-true» и inotifywait. Вряд ли пользователь успеет «прошмыгнуть». :-)

ls-h ★★★★★
(27.01.22 15:35:21 MSK)

Ответ на: комментарий от ls-h 27.01.22 15:35:21 MSK

Нет пока каталог secret только один.

Ключевое слово «один» :-)

~~Twissel~~ ★★★★★
(27.01.22 15:58:21 MSK) автор топика

Ответ на: комментарий от Twissel 27.01.22 15:58:21 MSK

Нет пока каталог secret только один.

Т.е. прямо вообще один на всей файловой системе? В чём тогда смысл всех сложностей? Почему нельзя просто пользователя исключить из некоторой группы, а доступ к каталогу разрешить только её членам? Я то думал, что задача вроде такой, что могут быть: /a/b/c/secret, /d/e/secret, /1/secret и т.п., которые ещё могут и добавляться. Иначе к чему тогда про текущий каталог было написано?

ls-h ★★★★★
(27.01.22 18:33:59 MSK)

Ответ на: комментарий от ls-h 27.01.22 18:33:59 MSK

В целом да, так хотелось поизвращаться, но хватит и такого)

Интересно, а что бы сказал на это Владимир?

~~Twissel~~ ★★★★★
(27.01.22 20:24:36 MSK) автор топика

Ссылка

Ответ на: комментарий от ls-h 27.01.22 18:33:59 MSK

А как смотрите на то, чтобы через setfacl отобрать права?

Какие недостатки у этого подхода?

~~Twissel~~ ★★★★★
(27.01.22 21:08:34 MSK) автор топика

Ответ на: комментарий от Twissel 27.01.22 21:08:34 MSK

А как смотрите на то, чтобы через setfacl отобрать права?

Можно и так. Не думаю, что тут есть недостатки. А вот SELinux/AppArmor тут точно не надо, тем более, если директория только одна.

ls-h ★★★★★
(27.01.22 22:25:54 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Automount usb-hdd

Admin

PPTP клиент на Oracle free VPS не подключается.

→

Похожие темы