On Wed, Jun 02, 2004 at 01:50:59PM +0600, Viktor Vislobokov wrote: > С возможностью рекурсивного обхода каталогов можно за 5 минут написать > скрипт (скажем apply_policy.sh), который будет выставлять запрет на > запуск всех исполняемых файлов (кроме указанных в отдельном конфиге) > для группы скажем restrict (куда и включить всех нужных > пользователей).
Только не запрет на запуск, а запрет на чтение. Запрет на запуск --- глупость: $ cp /bin/ps /tmp/ps $ chmod -x /tmp/ps $ ls -l /tmp/ps -rw-r--r-- 1 dron dron 63272 2004-06-02 19:08 /tmp/ps $ /lib/ld-linux.so.2 /tmp/ps PID TTY TIME CMD 4464 pts/2 00:00:00 bash 4944 pts/2 00:00:00 ld-linux.so.2 $ chmod -r /tmp/ps $ ls -l /tmp/ps --w------- 1 dron dron 63272 2004-06-02 19:08 /tmp/ps $ /lib/ld-linux.so.2 /tmp/ps /tmp/ps: error while loading shared libraries: /tmp/ps: cannot open shared object file: Permission denied -- Andrey V. Kiselev Home phone: +7 812 5274898 ICQ# 26871517