On Tue, Nov 06, 2001 at 04:34:08PM -0300, German Poo Caaman~o wrote:
> En mar, 2001-11-06 a 16:21, Hue-Bond escribi?
> > Javier Fdz-Sanguino Pen~a, [EMAIL PROTECTED]:58:57(+0100):
> > >
> > >Si quieres ver qué comandos ejecuta y utiliza una bash asegurate de
> > >que le pones un .bash_history que no pueda borrar (pero sí escribir)
> >
> > > Por supuesto, el .profile no lo debe poder editar.
> >
> > Cosas como estas se comentaron en bugtraq (o vuln-dev... para
> > el caso es lo mismo). La conclusión final fue que no tiene sentido
> > tocar en el $HOME de un usuario porque éste siempre tiene permiso
> > de escritura sobre el directorio, lo que le permite borrar archivos
> > aunque no sean suyos.
> >
> > Se me ocurre crear un $HOME/otro-directorio donde el usuario sí
> > tenga permiso de escritura y cambiar el propietario de $HOME a
> > root. Entonces el usuario sí que no podría tocar nada.
>
> Para eso existe acct (accton,acctof) etc, que guardan auditoria de
> lo que hace un usuario. Las soluciones basadas en el restringir
> lo que reside en $HOME son artesanales y nunca van a llegar a
> buen fin, mas que ganar el odio de un usuario molesto.
>
Ummm... qué hay del uso de capabilities en el kernel? A alguien
se le ocurre si se podría utilizar?
En cualquier caso yo me planteaba *solo* el caso que se proponía:
una persona de sistemas que tiene que entrar a tu sistema a hacer
mantenimiento. Evidentemente no lo proponía como solución general.
Javi
