LINUX.ORG.RU
ФорумAdmin

Вопрос теоретической возможности и практической реализации одной фичи

 , ,


0

1

Вопрос такой: существует ли в freebsd возможность поставить noexec на определенный каталог (не раздел с mount -o noexec, а именно конкретный каталог на разделе, смонтированом с exec). В целом решения для linux тоже покатят.

★★★★★

Нет, и не только в FreeBSD. Монтируй директорию отдельно.

power ()

В общем виде нет, но можно попробовать TrustedBSD MAC задействовать. :)

baka-kun ★★★★★ ()
Ответ на: комментарий от ventilator

в том и дело что нет. ситуация какая - у пользователя лежат в хомике cgi-скрипты, поэтому noexec на раздел не катит. и там же в хомике лежит chroot-окружение для ssh. но необходимо чтобы в это chroot-окружение юзер не мог заливать и исполнять свои бинари, кроме тех что там уже есть. в этом смысл.

Komintern ★★★★★ ()
Ответ на: комментарий от Komintern

Если весь том(включая корень или хотя бы /home) - на zfs, то можно отдельный volume в zfs создать для юзера и для чрута и воткнуть туда нужные разрешения

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Komintern

а, извини, недочитал... Если надо

чтобы в это chroot-окружение юзер не мог заливать и исполнять свои бинари, кроме тех что там уже есть

то тут только различные MAC-системы. Какие из них есть под *BSD - хз. Под Linux я бы порекомендовал GrSecurity ибо с SELinux более-менее(скорее менее всё-таки) нормально можно работать только в rpm-based дистрах, и то не во всех...

Pinkbyte ★★★★★ ()
Ответ на: комментарий от ventilator

На пару с монтированием каталога самого в себя добавляются интересные варианты :)

root@debian:/# cp -ar bin bin-e
root@debian:/# ./bin-e/uname -a
Linux debian 2.6.32-5-amd64 #1 SMP Thu Mar 22 17:26:33 UTC 2012 x86_64 GNU/Linux
root@debian:/# mount -o bind bin-e bin-e
root@debian:/# mount -o remount,ro,noexec bin-e
root@debian:/# ./bin-e/uname -a
bash: ./bin-e/uname: Отказано в доступе
root@debian:/# rm -f ./bin-e/uname 
rm: невозможно удалить «./bin-e/uname»: Файловая система доступна только для чтения
YAR ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.