Запрет запуска программ

0

0

Извиняюсь за глупый вопрос. Подскажите, как сделать так, чтобы на десктопной системе (сейча используется mandriva) пользователи могли запускать только определенные программы? (в особенности интересует запрет на запуск скаченых из интернета программ, пользователи относительно продвинутые)

Ссылка

←	rtorrent + wtorrent

bash. Kak проверить наличие в каталоге определенных файлов.

→

noexec в опциях /etc/fstab на /home, /tmp, /dev/shm и т.п. (ну, что доступно на запись пользователям, туда и noexec )

В grsecurity, кажется, было что-то на предмет trusted path execution, но грсек -- это головная боль.

lodin ★★★★
(19.09.08 01:47:55 MSD)

Ответ на: комментарий от lodin 19.09.08 01:47:55 MSD

Re^2: Запрет запуска программ

> noexec в опциях /etc/fstab на /home, /tmp, /dev/shm и т.п. (ну, что доступно на запись пользователям, туда и noexec )

> В grsecurity, кажется, было что-то на предмет trusted path execution, но грсек -- это головная боль.

можно ли сделать noexec, если и /tmp и /home в /-разделе?

~~GuttaLinux~~
(19.09.08 16:57:03 MSD)

Ответ на: Re^2: Запрет запуска программ от GuttaLinux 19.09.08 16:57:03 MSD

mount --bind olddir newdir

After this call the same contents is accessible in two places. One can also remount a single file (on a single file).

Это?

sin_a ★★★★★
(19.09.08 18:25:25 MSD)

Ответ на: комментарий от sin_a 19.09.08 18:25:25 MSD

Re^4: Запрет запуска программ

> mount --bind olddir newdir

> After this call the same contents is accessible in two places. One can also remount a single file (on a single file).

> Это?

что с чем ты предлагаешь биндить? и подойдёт ли туда noexec. и к чему именно оно тогда будет относиться?

man mount смотрел

~~GuttaLinux~~
(19.09.08 18:34:51 MSD)

Ответ на: Re^4: Запрет запуска программ от GuttaLinux 19.09.08 18:34:51 MSD

mv /home /home.real ; mkdir /home ; mount -o noexec /home.real /home

sin_a ★★★★★
(19.09.08 19:48:11 MSD)

Ответ на: комментарий от sin_a 19.09.08 19:48:11 MSD

Будет-ли noexec - не знаю, но можно попробовать?

sin_a ★★★★★
(19.09.08 19:48:50 MSD)

Ответ на: комментарий от sin_a 19.09.08 19:48:50 MSD

Re^6: Запрет запуска программ

> Будет-ли noexec - не знаю, но можно попробовать?

# cd /home.real
# ./koro1grabber
Koro1 grabbed!
# cd /home
# ./koro1grabber
Koro1 grabbed!

не доверяй и проверяй!

~~GuttaLinux~~
(20.09.08 03:29:36 MSD)

Ответ на: Re^6: Запрет запуска программ от GuttaLinux 20.09.08 03:29:36 MSD

А спасёт ли noexec от

$python icq.py ?

anonymous
(20.09.08 05:06:33 MSD)

Ответ на: комментарий от anonymous 20.09.08 05:06:33 MSD

А смысл делать защиту, если все равно можно сделать cat evil.py | python? Другое дело, что накропать evil на питоне, перле или шелле намного сложнее, чем на C.

Нет, можно конечно все скриптовые языки пропатчить на предмет невосприятия stdin (про perl -e 'print "hello!\n"' не забываем), но это видимо overkill и ни один большой дистрибутив такого делать не будет.

lodin ★★★★
(22.09.08 11:39:43 MSD)