LINUX.ORG.RU

Запретить пользователю выполнять ряд команд


0

1

Хотел бы ограничить обычных юзеров в выполнении команд, которые им не нужны, (ifconfig,kill,fdisk и тд ) да к ним нужны права sudo, но задача не чтобы не могли изменять, а чтобы не знали что можно поменять, но при этом оставить им возможность создавать/копировать/перемещать их файлы и тп элементарные задачи.

сначала подумал

1 вариант: переменную $PATH изменить, но тогда не сложно набрать /sbin/ifconfig

2 вариант: дать права 544 на эти команды, но тогда мне придется сидеть под sudo

Есть ли вариант «человеческий»?

> 2 вариант: дать права 744 на эти команды, но тогда мне придется сидеть под sudo
3 вариант: дать права 754 и добавиться в группу

AITap ★★★★★ ()

>kill
А она им точно не нужна?

но задача не чтобы не могли изменять, а чтобы не знали что можно поменять, но при этом оставить им возможность создавать/копировать/перемещать их файлы и тп элементарные задачи.

Моя сломать орган мозг.

Если я правильно понял, то либо сделать специальную группу, добавить себя в нее и сделать ее группой-владельцем этих файлов, либо, если это невозможно, отнять у группы и others права на исполнение, а себе их дать отдельно через ACL.

proud_anon ★★★★★ ()

Как раз для этих целей и были придуманны аттрибуты владелец-группа-остальные + отдельные разрешения.

Поменяй группу у нужных файлов на, к примеру, operator, добавь себя в эту группу, а юзеров из этой группы исключи. И убери права на чтение/исполнение для «others» у этих файлов

ky-san ()
Ответ на: комментарий от AITap

> 3 вариант: дать права 754 и добавиться в группу

Любой может скопировать этот файл и сделать его исполняемым.

ky-san ()
Ответ на: комментарий от ky-san

ky-san> Любой может скопировать этот файл и сделать его исполняемым.

Куда, eсли $HOME, /tmp, /var/tmp смонтированны с noexec?

sdio ★★★★★ ()
Ответ на: комментарий от sdio

> Куда, eсли $HOME, /tmp, /var/tmp смонтированны с noexec?

Это предложение поиграть в телепата или попытка сказать, что на разделах с опцией монтирования noexec нельзя выставить биты на исполнение?

ky-san ()
Ответ на: комментарий от sdio

Намёк был на то, что ни ты, ни я не можем знать, что же у будет у ТС и каким образом.

ky-san ()
Ответ на: комментарий от ky-san

Как раз для этих целей и были придуманны аттрибуты владелец-группа-остальные + отдельные разрешения.


Он обновится и все прова слетят

unanonymous ()
Ответ на: комментарий от ky-san

.
нет намек был на твой неверный совет. Ты ведь тоже не знаешь что там у ТС, но при этом однозначно заявил, что достаточно скопировать файл и сделать его исполняемым, чтобы обойти ограничение на запуск. Хотя при условии, что ТС собирается ужесточать пользовательское окружение, логично предположить, что будет noexec на ФС доступных для юзеру на запись.

sdio ★★★★★ ()
Ответ на: комментарий от ky-san

Никто не мешает сделать /lib/ld-linux* /путь/к/бинарнику/без/прав/на/выполнение, если уж на то пошло.

AITap ★★★★★ ()
Ответ на: комментарий от AITap

AITap> Никто не мешает сделать /lib/ld-linux* /путь/к/бинарнику/без/прав/на/выполнение, если уж на то пошло.

Я ждал этого. Сделай! И выложи пруф.

sdio ★★★★★ ()
Ответ на: комментарий от sdio
[16:18:19][aitap@Tarkus ~]> cp /bin/echo ./echo
[17:08:28][aitap@Tarkus ~]> chmod -x ./echo
[17:08:32][aitap@Tarkus ~]> ll ./echo
-rw-r--r-- 1 aitap aitap 18820 Мар 12 17:08 ./echo
[17:08:34][aitap@Tarkus ~]> /lib/ld-linux.so.2 ./echo zzz
zzz
[17:08:41][aitap@Tarkus ~]> 

Или Вы имели в виду то же самое на noexec? Тогда, конечно, не получится:

[17:09:32][aitap@Tarkus ~]> cp /bin/echo /media/WD\ Passport/echo
[17:09:58][aitap@Tarkus ~]> /lib/ld-linux.so.2 /media/WD\ Passport/echo zzz
/media/WD Passport/echo: error while loading shared libraries: /media/WD Passport/echo: failed to map segment from shared object: Operation not permitted
[17:10:04][aitap@Tarkus ~]127> mount | grep WD
/dev/sdc1 on /media/WD Passport type vfat (rw,noexec,nosuid,nodev,umask=0)
[17:10:16][aitap@Tarkus ~]> 
AITap ★★★★★ ()
Ответ на: комментарий от AITap

AITap> Или Вы имели в виду то же самое на noexec?

Конечно, я только о noexec и говорил.

sdio ★★★★★ ()
Ответ на: комментарий от sdio

Совет дважды верный - при защите от исполнения нужно убирать защиту от копирования (вдруг пользователь владеет spool файлами для e-mail в /var/spool/mail | /var/mail) и на файл на noexec разделе всё можно поставить exec биты - т.е. формально сделать его исполняемым.

А ТС, задавая такие вопросы, про noexec вряд ли знает, так что гадать смысла не вижу

ky-san ()
Ответ на: комментарий от sdio

> чтобы обойти ограничение на запуск.

Это ты додумал за меня.

ky-san ()
Ответ на: комментарий от ky-san

>А ТС, задавая такие вопросы, про noexec вряд ли знает, так что гадать смысла не вижу

Да кстати стыдно, не знал, точнее не знал где применяется. Вообщем сегодня очередная попытка поломать (сервер) общедоступный компьютер в школе, закончилась успехом. И не знаю что и делать. На этот раз подобрали пароль к sudo. Ох уж эти детки. блин не знаю как их угомонить. Покамись решил закрыть ssh, выходные думаю пройдут успешно, а что делать в понедельник, когда детки придут учиться и не знаю. :(

mordovorot ()
Ответ на: комментарий от mordovorot

Пардон...

За советы низкий поклон, много нового для себя открыл.

mordovorot ()
Ответ на: комментарий от mordovorot

Поправьте sudoers, пропишите там только то, что нужно, а не ALL

dumal ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.