LINUX.ORG.RU
ФорумAdmin

запретить команду юзеру


0

0

Ребята возникла нужда запретить пользователю использовать команду - gconf-editor. Попытался её внести в sudo, не помогло, все равно запускается не требуя пароля администратора, а нужно чтобы запускалась,как команда reboot, требуя пароля.
Ведь есть команды, которые требуют пароля, может можно также организовать и эту команду.
Есть ли какие нибудь возможности её запретить (запускать только через пароль root) ?

Найти исполняемый файл и поменять его права на рута?

Zhbert ★★★★★ ()

Отнять право запускать команду для юзера — значит, отнять это право у всех юзеров, кроме рута (см. первый коммент в этой теме).
Правда, можно извратиться со специальной группой, но это долго и костыльно.

Имхо в твоем случае достаточно
chown root:root -R /home/user/.gconf

Эта команда сделает владельцем файлов юзерских настроек gconf рута, и юзер не сможет их изменить.

nnz ★★★★ ()

Только никто не учел, что при обновлении права вернутся на место :)

xorik ★★★★★ ()
Ответ на: комментарий от xorik

>Только никто не учел, что при обновлении права вернутся на место :)

Мой хитрый план™ учитывает и это :)

nnz ★★★★ ()
Ответ на: комментарий от nnz

>Мой хитрый план™ учитывает и это :)
Точно, я первый раз только первый абзац прочитал =)

xorik ★★★★★ ()

хаха, вы все упоролись. Если убрать доступ на исполнение, то можно сделать
cat /usr/bin/gconf > ~/gconf && chmod 755 ~/gconf
Ладно, убрали вообще все права. Что мешает скачать deb/rpm (такой же версии, как в системе) с этим бинарем и распаковать оттуда /usr/bin/gconf в свой ~/gconf ? Либы же оно подтянет

Bers666 ★★★★★ ()
Ответ на: комментарий от nnz

ой , неужели эту папку переопределить нельзя ?

Bers666 ★★★★★ ()
Ответ на: комментарий от Bers666

> Что мешает скачать deb/rpm (такой же версии, как в системе) с этим бинарем и распаковать оттуда /usr/bin/gconf в свой ~/gconf ?

раздел с /home, примонтированный как надо?

ahonimous ()
Ответ на: комментарий от Bers666

А ты думаешь, что если он юзеру хочет порезать права на гконф, чтобы тот шаловливыми ручками не тыкал ничего, то этот же юзер этими же ручками сможет скачать пакет гконфа, распаковать и влезть куда-то?

Zhbert ★★★★★ ()
Ответ на: комментарий от nnz

>Правда, можно извратиться со специальной группой, но это долго и костыльно.

А какие ещё есть способы получить права доступа к программам (в общем случае) отличные от принятых в дистрибутиве? Может быть что-то похожее на RestrictedRun (белый/чёрный лист программ, можно задать для отдельных пользователей) в win?

Lonli-Lokli ★★ ()
Ответ на: комментарий от Bers666

>ой , неужели эту папку переопределить нельзя ?

Лично я не знаю, как это сделать.

Наверное, потому что в сортах гнума не разбираюсь.

nnz ★★★★ ()
Ответ на: комментарий от Lonli-Lokli

>А какие ещё есть способы получить права доступа к программам (в общем случае) отличные от принятых в дистрибутиве? Может быть что-то похожее на RestrictedRun (белый/чёрный лист программ, можно задать для отдельных пользователей) в win?

В линуксе много механизмов управления доступом: права ФС, POSIX ACL's, PAM, PolicyKit, MAC (SELinux, SMACK, TOMOYO). Выбор и настройка в каждом случае зависит от условий конкретной задачи.

nnz ★★★★ ()

а не будет ли это равносильно блокировке vi и разрешению nano?

bk_ ★★ ()
Ответ на: комментарий от nnz

Твой хитрый план™ учитывает и то, что помимо собственно gconf-editor существуют ещё консольные утилиты для работы с gconf. Ну и ручками, в случае чего, тоже можно его править)

Так что если уж менять права, то по твоему методу, а не у gconf-editor.

kss ★★★★★ ()

gconf-editor - догадываюсь, но не знаю что то, но мне ясно одно - все вы тут мудреные ребята. вот например полезет тебе манагер через vi настройки гнома редактировать))))) ну уморили))). Самый лучший совет так это:

Begemoth - chmod o-x $(which gconf-editor)

настроил и запретил запуск всяким там криворуким! вот

anykey_mlya ()
Ответ на: комментарий от anykey_mlya

Всем большое спасибо за помощь!

Но вот такой совет - chmod o-x $(which gconf-editor), запрещает совсем команду юзеру, а вот можно сделать, чтоб при её запуски программа просила пароль root ?

Это не подходит chown root:root -R /home/user/.gconf - т.к. постоянно тогда выдаются ошибки...

Shining_ninja ()
Ответ на: комментарий от Shining_ninja

>Это не подходит chown root:root -R /home/user/.gconf - т.к. постоянно тогда выдаются ошибки...

Все нормально, это и есть защита.

можно сделать, чтоб при её запуски программа просила пароль root ?


Можно, надо запускать ее через gksu. Тогда она и ошибок выдавать не будет.

nnz ★★★★ ()
Ответ на: комментарий от Shining_ninja

Покурил я щас мануал, нашел kdesu. Заработала как хотел: Есть пользователи, некоторым я дал изменять свои настройки, а другим не дал (но если им нужно будет, просто запускаю kdesu и все норм).

Все спасибо за помощь.

Shining_ninja ()
Ответ на: комментарий от Shining_ninja

Через kdesu они тебе не только настройки изменят...

Marmirus ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.