Re: Разрешить пользователю запускать только несколько программ
On Thu, 3 Jun 2004 21:27:22 +0400 "Victor B. Wagner" <[EMAIL PROTECTED]> wrote: >4944 pts/200:00:00 ld-linux.so.2 Какая неприятная библиотека :) Это не совсем библиотека. Это интерпретатор такой. Который интерпретирует формат elf А я всегда считал, что это делает ядро. Если я скомпилю чего-нибудь на ассемблере статически без либс, ведь оно запускается. :) Кстати, кто-нибудь может пояснить - почему некоторым библиотекам нужно --x ? По-моему, не некоторым, а всем. Все бинарники, создаваемые компилятором, будь то просто исполняемые файлы, или динамические библиотеки, имеют этот атрибут. Снимать, если честно не пробовал. Но пусть лучше всё, что содержит выполняемый код, ls зелененьким показывает. Если снять, то собранная с ней прога не запустится :) Кстати не все, а только: ecom:/home/SSL# ls -l /lib/ |grep "^-..x" -rwxr-xr-x1 root root90210 Aug 2 2002 ld-2.2.5.so -rwxr-xr-x1 root root24817 Mar 7 2001 ld-linux.so.1.9.11 -rwxr-xr-x2 root root99568 Mar 7 2001 ld.so -rwxr-xr-x2 root root99568 Mar 7 2001 ld.so.1.9.11 -rwxr-xr-x1 root root 1153784 Aug 2 2002 libc-2.2.5.so -rwxr-xr-x1 root root 6200 Mar 7 2001 libdl.so.1.9.11 ecom:/home/SSL# ls -l /lib/ |wc -l 96 ecom:/home/SSL# Наверное, есть какое-то объяснение... Regards, Yuri Kozlov
Re: Разрешить пользователю запускать только несколько программ
On Wed, 2 Jun 2004 19:12:44 +0400 Andrey Kiselev <[EMAIL PROTECTED]> wrote: On Wed, Jun 02, 2004 at 01:50:59PM +0600, Viktor Vislobokov wrote: $ /lib/ld-linux.so.2 /tmp/ps PID TTY TIME CMD 4464 pts/200:00:00 bash 4944 pts/200:00:00 ld-linux.so.2 Какая неприятная библиотека :) Кстати, кто-нибудь может пояснить - почему некоторым библиотекам нужно --x ? Regards, Yuri Kozlov
Re: Разрешить пользователю запускать только несколько программ
On Wed, 2 Jun 2004 15:23:12 +0400 Иван Лох <[EMAIL PROTECTED]> wrote: On Wed, Jun 02, 2004 at 01:56:12PM +0600, Viktor Vislobokov wrote: Запрет на _запуск программ_ -- абсурд. Почему Вы хотите из запретить? Ресурсоемкость? Для этого есть лимиты... Используется много "нестатандартно" суидных программ? Избавьтесь от них... Вообще? Боялся, что напутал с правами на какие-нибудь конфиги или пропустил сообщение о локальной уязвимости. (на машине gcc и всё прочее есть) rbash - понравился. Regards, Yuri Kozlov
Re: Разрешить пользователю запускать только несколько программ
On Wed, 02 Jun 2004 12:21:37 +0600 "Viktor Vislobokov" <[EMAIL PROTECTED]> wrote: А просто ext. attrib патча не хватит ? Нет. xattr это не то. Оно необходимо для acl, но не то. Я делал так: - с сайта брал патчи для ядра и fileutils - собирал библиотеки libattr и libacl Это есть в testing - с ними собирается fileutils также патченный А вот fileutils ручками пересобирать ? В принципе, ядро пересобрал, асl получил (чего патч с 2.4 не сольют ?). А задачка пропала :( Спасибо за помощь. Regards, Yuri Kozlov
Re: Разрешить пользователю запускать только несколько программ
On Tue, 01 Jun 2004 18:17:53 +0400 Slava Astashonok <[EMAIL PROTECTED]> wrote: Yuri Kozlov wrote: Нашёл apt-get install attr Спасибо, буду пробовать. Наверное, всё же apt-get install acl ? Но мне это решение не кажется оптимальным. Советую поискать по ключевым словам "restricted shell". А просто ext. attrib патча не хватит ? Вообще, под задачу мне больше подойдёт именно "restricted shell". Но на атрибутах, наверно, тоже можно сделать. Regards, Yuri Kozlov
Re: Разрешить пользователю запускать только несколько программ
Нашёл apt-get install attr Спасибо, буду пробовать. On Tue, 01 Jun 2004 18:01:13 +0600 "Viktor Vislobokov" <[EMAIL PROTECTED]> wrote: Причмочка называется ACL - Access List Это расширенные права доступа к файлам и каталогам, расширяющие стандартные UNIX'овые 3x3 Не уверен, что оно есть в Debian. Поэтому ищи в инете. Я давно использую это как с XFS так и с ext3 Regards, Yuri Kozlov
Re: Разрешить пользователю запускать только несколько программ
А поподробней ? man чего ? On Tue, 01 Jun 2004 11:07:43 +0600 "Viktor Vislobokov" <[EMAIL PROTECTED]> wrote: Можно ещё ACL настроить. Yuri Kozlov wrote: Здраствуйте. Возникла задачка завести "левых" пользователей на сервере, которые будут ходить через telnet. Хочется ограничить список запускаемых ими программ. Chroot делать не хочется. Что ещё можно посмотреть ? selinux ? -- С уважением, Виктор -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] Regards, Yuri Kozlov
