LINUX.ORG.RU

Как юзеру запретить некоторые комманды?


0

1

Как запретить выполнение например top ls rm ? для некоторых или как запретить для всех, но с исключением.... Пробывал через перехват клавиш в автозагрузке консоли, но ctrl+zxc срабатывают, useradd /dev/null не логинятся тогда через консоль, а это тоже надо.

тоесть юзер должен залогинится, у него через profiles идет менюшка на select, но ему надо запретить прерывать это дело Ctrl+z/x/c . Как?

Averus ()
Ответ на: комментарий от Averus

В качестве шелла в /etc/passwd указать нужный скрипт. По завершении его сессия закончится.

sin_a ★★★★★ ()
Ответ на: комментарий от Sylvia

и top и ls работают, остальное даже проверять не стал

Averus ()
Ответ на: комментарий от sin_a

какое завершение? юзер не должен иметь возможность прервать скритп, завершить сесию и exit logout в том же скрипте может.

Averus ()

надо либо закрыть возможность прерывать скрипт или заблокировать клаву/консоль после выполнения. Но как?

Averus ()
Ответ на: комментарий от Averus

Ещё раз, по буквам:

В /etc/passwd

вместо /bin/bash указываем свой скрипт

Пользователь логинится

Скрипт выполняется

Пользователь завершает аварийно скрипт по ctrl-что-угодно-тра-ля-ля

При этом завершается его сеанс работы и он вместо того что бы получить шелл имеет возможность авторизоваться заново.

sin_a ★★★★★ ()
Ответ на: комментарий от sin_a

эта идея кажется очень странной, т.к. происходит loguot сразу после входа.

Averus ()
Ответ на: комментарий от Averus

указал вместо /bin/bash, скрип echo sdfgdsfg; sleep 5, но вылитает сразу после логина.

Averus ()
Ответ на: комментарий от Averus

Создаём файл например /usr/local/bin/myscript

Помещаем внутрь примерно следующее:

while : ; do read i <&1 ; echo $i ; done

Проверяем как он работает.

Указываем его подопытному пользователю в качестве шелла.

Проверяем.

PS: да, очевидно в скрипте будет что то другое, но что именно должно выполняться у пользователя как бы здесь пока никто не знает.

sin_a ★★★★★ ()

А какой смысл в запрете конкретных команд? Если у пользователя есть возможность закачать что-либо на вашу систему (свой собственный бинарник) и выполнить, то запрет стандартных программ ни коим образом не спасёт от потенциально опасных действий.
top и любые аналогичные утилиты обламываются через ограничение доступа к /proc.

frozen_twilight ★★ ()
Ответ на: комментарий от frozen_twilight

задание было добиться сабжа, посмотрите как мы его добились и как теперь это поломать?

Averus ()

Как вариант, при помощи POSIX ACL или обычной системы прав раскидать права на выполнение и чтение этих бинарников.
Права нужно выставлять заново при переустановке пакетов, к которым относятся данные бинарники.
Не имеет смысла если юзер может скачать/собрать и выполнить какой-нибудь бинарник из интернетов.

Nao ★★★★★ ()

не забудь запретить на выполнение компиляцию и монтируй home и tmp с noexec

Pinkbyte ★★★★★ ()
Ответ на: комментарий от redgremlin

> Запомните, что есть «компания друзей», но : «Развернута компания травли» — сплошь и рядом.

Как-то «но» не в тему, они хотели написать «Развернута кампания травли»?

rival ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.