Архив форумов ЦИТФорума

[I_one]

Поставил ASPLinux 7.3 начал добавлять пользователей. С удивлением обнаружил что обычный пользователь может выйти за пределы своей домашней папки и залесть например в etc что не есть позитивно. Как ограничить юбычных юзарей своими домашними каталогами и что бы вновь добавляемые юзари получали доступ только к своей папке но что бы могли например запустить mc ?

[and3008]

-

[Dmitry.Karpov http://prof]

Чтобы юзер мог запускать программы, ему нужен доступ в /bin и /usr/bin, а также еще много куда. Чтобы юзер мог видеть, кому принадлежит файл, ему нужен доступ к /etc/passwd. Ну и т.д....

Самый хороший способ - убрать право чтения у директорий, куда юзеру незачем соваться:
chmod o-r / /etc /bin ...
Тогда все программы, которые знают, куда обращаться - смогут обратиться; а юзер будет как в полной тьме - списка файлов ему не покажут (кроме тех, кто входит в одну группу с директорией - а политику групп сам регулируй).

[Борис]

А что опасного в том, что простые пользователи смогут читать настроечную информацию? Безопасность не в незнании пользователями настроек, а в правильной настройке. Примеры -- (хорошие) системы шифрования: все алгоритмы и исходники известны, но получить доступ к информации невозможно. Одним словом, поставь верные атрибуты -- и все. Есть, конечно, еще вариант для идиотов-администраторов: в /etc/passwd поставить строку примерно такого типа:

specuser::10000:0:specuser:/:/bin/sh

тогда читать такой с позволения сказать /etc/passwd не надо давать никому. Но каждый администратор имеет право быть идиотом -- это одна из неотъемлемых свобод любого человека. Как раз про таких администраторов сообщение на виндовом форуме "Забавный стишок на тему администрирования" (http://forum.citforum.ru/mes.php?id=76221&fs=40&ord=0&board =9&lst=0&ordr=0&arhv=)

[DmitriyS]

Есть вот такой интересный проект
http://www.dei.inf.uc3m.es/~assman/jail/
под бсд джаил встроен, а этот для линуха.
P.S. Опробован, работает весьма успешно.

[Dmitry.Karpov http://prof]

Если ты хочешь держать кого-то в клетке, и чтоб он при этом не умер, а делал полезную работу, то ты должен обеспечивать его едой и материалами. То же самое относится к компьютерной jail - тебе придется самомУ создать для заключенного рабочую среду, скопировав туда бОльшую часьть из того, что тебе кажется необходимым скрыть от него.

[DmitriyS]

это лучшее решение для предоставления хостинга с шеллом.
копируются самые необходимые проги плюс немного утилиток (vi, mc, perl...) Всё очень прекрасно работает.(да и апач крутится под chroot'ом)

[Dmitry.Karpov http://prof]

-

[AlexanderK]

ты из man jail не прочитал ни строчки, извини уж.
ip address jail'a задается из командной строки при запуске.