запретить юзеру читать любые файлы кроме тех что находятся в хомяке и его подкаталогах

0

1

привет!

подскажите по сабжу.

т.е. когда юзер запускает скомпилиенный им бинарник, или shell скрипт, или python скрипт(или что-либо еще), есть ли возможность запретить запущенному бинарнику/скрипту читать любые файлы кроме тех что находятся в хомяке и его подкаталогах?

скрипты и бинарники которые юзер хочет запускать, могут находится только в хомяке и его подкаталогах.

благодарен.

Ссылка

←	Где эта галочка в фф?

Снимки машин в RAM

→

Головой думал?

Запуск программы-это загрузка дефолтных иконок из каталога темы,загрузка стиля,загрузка конфигов дополнительных(тогоже питона,или еще чего),загрузка параметров работы с сетью/IO ...и угадай-это все находится НЕ в каталоге юзера...

Под твои требования подходит виртуалка.(каждому юзеру по своей виртуалке).

Также если у тебя не полная паранойя-apparmor,там и выставляй правила.

anonymous
(29.06.12 20:14:19 MSK)

Ссылка

apparmor, gentoo sandbox

AITap ★★★★★
(29.06.12 20:17:22 MSK)

Ссылка

Хватит 750 на директории пользователей и включение их в разные группы. Или 700, если они все в одной группе.

~~Eddy_Em~~ ☆☆☆☆☆
(29.06.12 20:19:06 MSK)

Ссылка

Идиот. Звезду нафлудил, а все равно - идиот.

anonymous
(30.06.12 06:29:23 MSK)

Ссылка

скрипты и бинарники которые юзер хочет запускать, могут находится только в хомяке и его подкаталогах.

bash? ls? passwd? библиотеки?

Для начала, разберись с тараканами в своей голове, почитай умные книжки по защите информации - в них во всех говорится, что если администратор хочет защитить систему путем запрета запуска отдельных приложений - такого администратора надо уволить.

~~no-dashi~~ ★★★★★
(30.06.12 09:27:36 MSK)

Ссылка

Ты этого не хочешь. Но вообще такой изврат реализуется через pam_namespace. Либо через любой MAC, достаточно одного правила. В любом случае будет тонна геморроя.

x3al ★★★★★
(30.06.12 09:40:06 MSK)