форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Квоты, ограничения)
Изначальное сообщение		[ Отслеживать ]

"шта делать?"	–1 +/–
Сообщение от greenwar (ok) on 09-Окт-15, 18:26
неправильно тема назвалась... ОС Debian 8 допустим у юзера стоит /bin/false или /usr/sbin/nologin но система запускает бинарники, которые принадлежат юзеру Как ему запретить делать через его бинарники cat /etc/passwd и всё такое (ГЛОБАЛЬНО, типа chroot, а не по одному файлу права снимать) ? например есть /etc/security/limits.conf, который работает через pam_limits.so, который присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на момент авторизации). Там есть chroot в т.ч., но только на время сессии, если дело было через авторизацию и юзер вошёл, а если запускала сторонняя прога от имени юзера, то как быть? И я кстати почему то не могу залогиниться с такой записью: test1           -       chroot          /home/test1 пишет "/bin/bash: No such file or directory" хотя я этот баш куда только не копировал и как только не менял chsh сейчас он в /home/test1/bin/bash Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся от имени группы, не могли выйти дальше /home
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "шта делать?"	+/–
Сообщение от asavah (ok) on 09-Окт-15, 19:24
для таких целей изобрели контейнерную виртуализацию docker, openvz всегда ваш, кэп
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "шта делать?"	–1 +/–
	Сообщение от greenwar (ok) on 09-Окт-15, 20:19
	> для таких целей изобрели контейнерную виртуализацию > docker, openvz > всегда ваш, кэп под мои условия подходит только KVM подошёл бы FreeBSD, но у меня линух изучаю LXC пока... крутая виртуализация ресурсы отожрёт и получится не то хочу обсудить вариант БЕЗ виртуализации что можно сделать?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "шта делать?"	–1 +/–
	Сообщение от Фабрика Огрызков on 10-Окт-15, 02:00
	> под мои условия подходит только KVM А он тебя через SMM багу у интелов иль через отладочные регистры ломанёт. При помощи косяков у TSC и HPET на некоторых чипсетах тоже можно вылезти из виртуалки. И что самое клёвое будет сразу хостовый рут. А если на хосте в SMM лазать, то оттуда сложнее шел от рута запустить. Отака х...ня, малята.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	13. "шта делать?"	+/–
	Сообщение от Dima103 (ok) on 07-Дек-15, 14:45
	> для таких целей изобрели контейнерную виртуализацию > docker, openvz > всегда ваш, кэп и я советую воспользоваться контейнерной виртуализацией
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "шта делать?"	+/–
Сообщение от Павел Самсонов on 09-Окт-15, 21:07
> неправильно тема назвалась... > ОС Debian 8 > допустим у юзера стоит /bin/false или /usr/sbin/nologin > но система запускает бинарники, которые принадлежат юзеру > Как ему запретить делать через его бинарники cat /etc/passwd и всё такое У меня /home смонтирован с noexec, и все места куда пользователь может писать (/tmp и т.п.) >[оверквотинг удален] > И я кстати почему то не могу залогиниться с такой записью: > test1           - >       chroot     >      /home/test1 > пишет "/bin/bash: No such file or directory" > хотя я этот баш куда только не копировал и как только не > менял chsh > сейчас он в /home/test1/bin/bash > Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся > от имени группы, не могли выйти дальше /home
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "шта делать?"	–1 +/–
	Сообщение от greenwar (ok) on 09-Окт-15, 22:04
	> У меня /home смонтирован с noexec, и все места куда пользователь может > писать (/tmp и т.п.) таки мне надо, чтобы пользователь мог запускать файлы но при этом: либо не мог юзать команды, позволяющие хулиганить либо не мог вылезать этими командами за пределы /home
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "шта делать?"	+/–
	Сообщение от Павел Самсонов on 09-Окт-15, 22:33
	>> У меня /home смонтирован с noexec, и все места куда пользователь может >> писать (/tmp и т.п.) > таки мне надо, чтобы пользователь мог запускать файлы > но при этом: > либо не мог юзать команды, позволяющие хулиганить Я думаю что надо относиться так: все программы установленные рутом из репозитария не опасны, система все таки продумана на этот счет. Тащить в систему свой инструментарий можно запретить (например опцией noexec на места куда пользователь может писать). А так вообще на хостингах сайтов на некоторые команды ставят 770 root:root разрешения, это распространено. Ну а chroot или контейнер требует сборки нужного окружения для пользователя включая библиотеки. > либо не мог вылезать этими командами за пределы /home
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "шта делать?"	+/–
	Сообщение от PavelR (??) on 10-Окт-15, 05:40
	>> У меня /home смонтирован с noexec, и все места куда пользователь может >> писать (/tmp и т.п.) > таки мне надо, чтобы пользователь мог запускать файлы > но при этом: > либо не мог юзать команды, позволяющие хулиганить > либо не мог вылезать этими командами за пределы /home Попробуй selinux или вторую технологию, как там её зовут... Если вкуришь всю эту тему - полюбому получится сделать то, что тебе надо.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "шта делать?"	+/–
	Сообщение от k (??) on 11-Окт-15, 14:44
	>> У меня /home смонтирован с noexec, и все места куда пользователь может >> писать (/tmp и т.п.) > таки мне надо, чтобы пользователь мог запускать файлы > но при этом: > либо не мог юзать команды, позволяющие хулиганить > либо не мог вылезать этими командами за пределы /home restricted shell
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "шта делать?"	+/–
	Сообщение от greenwar (ok) on 11-Окт-15, 17:22
	>>> У меня /home смонтирован с noexec, и все места куда пользователь может >>> писать (/tmp и т.п.) >> таки мне надо, чтобы пользователь мог запускать файлы >> но при этом: >> либо не мог юзать команды, позволяющие хулиганить >> либо не мог вылезать этими командами за пределы /home > restricted shell у меня юзеры не входят в систему (только по фтп) но демон запускает их файлы
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

4. "шта делать?"	+/–
Сообщение от Павел Самсонов on 09-Окт-15, 22:00
>[оверквотинг удален] > присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на > момент авторизации). > Там есть chroot в т.ч., но только на время сессии, если дело > было через авторизацию и юзер вошёл, а если запускала сторонняя прога > от имени юзера, то как быть? > И я кстати почему то не могу залогиниться с такой записью: > test1           - >       chroot     >      /home/test1 > пишет "/bin/bash: No such file or directory" Ему надо еще библиотеки ldd /bin/bash в /home/test1/lib/ > хотя я этот баш куда только не копировал и как только не > менял chsh > сейчас он в /home/test1/bin/bash > Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся > от имени группы, не могли выйти дальше /home
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "шта делать?"	+/–
Сообщение от anonymous (??) on 13-Окт-15, 17:11
"шта делать?" по идее, для начала выучить русский язык
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "шта делать?"	+/–
	Сообщение от omonimus (ok) on 21-Окт-15, 21:04
	> "шта делать?" > по идее, для начала выучить русский язык Запятая тут ни к чему. Так что тот же совет дай и себе)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема