Запретить из под пользователя программно логиниться другим пользователем

0

1

например, есть пользователь skype

запускаем под ним программу skype

дальше эта программа (внезапно) хочет запустить процесс под пользователем root, и например она знает пароль, потому что является как минимум keylogger, а как максимум полноценным трояном

есть ли в linux возможность предотвратить запуск
из процесса skype под пользователем skype
других процессов под другими пользователями?

selinux/armlinux для этого?

помогут ли какие-нибудь более простые способы,
например, chroot, virtualbox и т.п.?

Ссылка

←	Как реально убедиться, что hugepages даёт прирост производительности?

gcc компиляция из под линукс для шиндус

→

Насколько я помню, с помощью настройки pam можно запертить использование su и sudo пользователями, не включеными в группу wheel.

Deleted
(16.08.15 13:33:33 MSK)

Ответ на: комментарий от Deleted 16.08.15 13:33:33 MSK

от setuid() это не спасёт

anonymous
(16.08.15 13:34:37 MSK)

например она знает пароль

Тебе нужно решить эту проблему, а не запрещать программно логиниться.

x3al ★★★★★
(16.08.15 13:36:41 MSK)

Ответ на: комментарий от x3al 16.08.15 13:36:41 MSK

т.е. если запускать на гипервизоре без дыр, то это несколько безопаснее?

можно поэкспериментировать под VirutalBox, а потом перейти на KVM?

~~sanyock~~ ★★
(16.08.15 13:56:23 MSK) автор топика
Последнее исправление: sanyock 16.08.15 13:56:54 MSK (всего исправлений: 1)

Ссылка

Apparmor, selinux, виртуализация или контейнеры решают эти проблемы. Skype лучше запихнуть либо виртуальную машину с профилем для MAC системы, либо просто в профиль для MAC системы плюс запуск в xephyr.

anonymous_sama ★★★★★
(16.08.15 14:02:49 MSK)

Ответ на: комментарий от anonymous 16.08.15 13:34:37 MSK

от setuid() это не спасёт

Если программа может успешно выполнить setuid(), ей уже не нужно выполнять setuid().

i-rinat ★★★★★
(16.08.15 14:05:52 MSK)

Ссылка

Ответ на: комментарий от anonymous_sama 16.08.15 14:02:49 MSK

а что такое есть запуск под «просто профилем для MAC системы»?

чем хороши настройки MAC (apple?) для VirtualBox или я не так понял?

xephyr - это вроде бы виртуальный X сервер?

может этот скайп запускать под Xvnc внутри виртуалки , это изолирует его от моей клавиатуры?

и иногда цепляться туда vncviewer-ом для извлечения логов? мне надо-то логи из одного чата

~~sanyock~~ ★★
(16.08.15 14:06:42 MSK) автор топика
Последнее исправление: sanyock 16.08.15 14:09:15 MSK (всего исправлений: 3)