LINUX.ORG.RU

Запрет запуска программ


0

0

Извиняюсь за глупый вопрос. Подскажите, как сделать так, чтобы на десктопной системе (сейча используется mandriva) пользователи могли запускать только определенные программы? (в особенности интересует запрет на запуск скаченых из интернета программ, пользователи относительно продвинутые)

anonymous

Re: Запрет запуска программ

noexec в опциях /etc/fstab на /home, /tmp, /dev/shm и т.п. (ну, что доступно на запись пользователям, туда и noexec )

В grsecurity, кажется, было что-то на предмет trusted path execution, но грсек -- это головная боль.

lodin ★★★★ ()
Ответ на: Re: Запрет запуска программ от lodin

Re^2: Запрет запуска программ

> noexec в опциях /etc/fstab на /home, /tmp, /dev/shm и т.п. (ну, что доступно на запись пользователям, туда и noexec )

> В grsecurity, кажется, было что-то на предмет trusted path execution, но грсек -- это головная боль.


можно ли сделать noexec, если и /tmp и /home в /-разделе?

GuttaLinux ()
Ответ на: Re: Re^2: Запрет запуска программ от sin_a

Re^4: Запрет запуска программ

> mount --bind olddir newdir

> After this call the same contents is accessible in two places. One can also remount a single file (on a single file).


> Это?


что с чем ты предлагаешь биндить? и подойдёт ли туда noexec. и к чему именно оно тогда будет относиться?

man mount смотрел

GuttaLinux ()
Ответ на: Re: Re^6: Запрет запуска программ от anonymous

Re: Re^6: Запрет запуска программ

А смысл делать защиту, если все равно можно сделать cat evil.py | python? Другое дело, что накропать evil на питоне, перле или шелле намного сложнее, чем на C.

Нет, можно конечно все скриптовые языки пропатчить на предмет невосприятия stdin (про perl -e 'print "hello!\n"' не забываем), но это видимо overkill и ни один большой дистрибутив такого делать не будет.

lodin ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.