LINUX.ORG.RU
решено ФорумAdmin

Как юзеру запретить некоторые комманды?


0

1

Как запретить выполнение например top ls rm ? для некоторых или как запретить для всех, но с исключением.... Пробывал через перехват клавиш в автозагрузке консоли, но ctrl+zxc срабатывают, useradd /dev/null не логинятся тогда через консоль, а это тоже надо.


тоесть юзер должен залогинится, у него через profiles идет менюшка на select, но ему надо запретить прерывать это дело Ctrl+z/x/c . Как?

Averus
() автор топика
Ответ на: комментарий от Sylvia

и top и ls работают, остальное даже проверять не стал

Averus
() автор топика
Ответ на: комментарий от sin_a

какое завершение? юзер не должен иметь возможность прервать скритп, завершить сесию и exit logout в том же скрипте может.

Averus
() автор топика

надо либо закрыть возможность прерывать скрипт или заблокировать клаву/консоль после выполнения. Но как?

Averus
() автор топика
Ответ на: комментарий от Averus

Ещё раз, по буквам:

В /etc/passwd

вместо /bin/bash указываем свой скрипт

Пользователь логинится

Скрипт выполняется

Пользователь завершает аварийно скрипт по ctrl-что-угодно-тра-ля-ля

При этом завершается его сеанс работы и он вместо того что бы получить шелл имеет возможность авторизоваться заново.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

ОчИпЯтКу нашел, спасибо все работает!

Averus
() автор топика
Ответ на: комментарий от Averus

Создаём файл например /usr/local/bin/myscript

Помещаем внутрь примерно следующее:

while : ; do read i <&1 ; echo $i ; done

Проверяем как он работает.

Указываем его подопытному пользователю в качестве шелла.

Проверяем.

PS: да, очевидно в скрипте будет что то другое, но что именно должно выполняться у пользователя как бы здесь пока никто не знает.

sin_a ★★★★★
()

А какой смысл в запрете конкретных команд? Если у пользователя есть возможность закачать что-либо на вашу систему (свой собственный бинарник) и выполнить, то запрет стандартных программ ни коим образом не спасёт от потенциально опасных действий.
top и любые аналогичные утилиты обламываются через ограничение доступа к /proc.

frozen_twilight ★★
()
Ответ на: комментарий от frozen_twilight

задание было добиться сабжа, посмотрите как мы его добились и как теперь это поломать?

Averus
() автор топика

Как вариант, при помощи POSIX ACL или обычной системы прав раскидать права на выполнение и чтение этих бинарников.
Права нужно выставлять заново при переустановке пакетов, к которым относятся данные бинарники.
Не имеет смысла если юзер может скачать/собрать и выполнить какой-нибудь бинарник из интернетов.

Nao ★★★★★
()

не забудь запретить на выполнение компиляцию и монтируй home и tmp с noexec

Pinkbyte ★★★★★
()
Ответ на: комментарий от redgremlin

Запомните, что есть «компания друзей», но : «Развернута компания травли» — сплошь и рядом.


Как-то «но» не в тему, они хотели написать «Развернута кампания травли»?

rival ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.