Subject: Re: asignar programes a grups d'usuaris
El 03/04/06, Orestes Mas [EMAIL PROTECTED] ha escrit:
Si utilitzes Access Control Lists (ACL), el sistema de fitxers ho ha
de suportar. En el cas de EXT3 fins fa poc això era una característica
addicional que NO estava activada per defecte. S'havia de recompilar el
nucli. Si no ho tens actiu els programes que esmentes no et serviran de
res.
Tanmateix, ja fa temps que ho vaig mirar i no sé si ara ja ve per
defecte. Jo no puc ser més precís perquè no ho utilitzo.
Per estalviar-te maldecaps potser et convé crear-te un esquema senzillet
de grups, com ara adults i nens. De fet, ara que hi penso només et
cal el grup adults. Aleshores fas que els executables perillosos
pertanyin a aquest grup (se suposa que el propietari és root) i els
assignes permisos 750. I finalment fas que els usuaris adults
pertanyin al grup adults a banda dels que ja pertanyen. (adduser nom
d'usuari adults)
Orestes
Hola a tots :
Moltes gràcies per respondre, i donar-me una pista per on buscar la solució.
A veure si la xuleta us sembla correcta:
Problema:
Tenim N programes que no volem que ejecutem tots els usuaris perque
són no adequats , etc.
Els executables d'aquests programes estàn a:
/usr/bin/p1 amb permís -rwxr-xr-x
/usr/bin/p2 amb permís -rwxr-xr-x
.
.
.
/usr/bin/pN amb permís -rwxr-xr-x
Els usuaris adults/pares/mestres següents si han de poder executar els
programes:
usuari1
usuari2
usuari3
Els usuaris nens/fills/alumnes següents no han de poder executar el programes:
usuari4
usuari5
.
.
.
usuariM
Solució:
Si volem emprar ACL's llistes de controld de usuaris comproven si el
nucli té activades aquestes opcions amb la comanda següent des de
consola.
$ cat /boot/config* | grep _ACL
Si està activat el suport al nucli veurem per ext3 el següent:
CONFIG_EXT3_FS_POSIX_ACL=y
CONFIG_JFS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
ara creem el grup adults amb la comanda
# groupadd adults
ara asignem els usuaris adults/pares/mestres al grups adults
# adduser usuari1 adults
# adduser usuari2 adults
# adduser usuari3 adults
ara donem permisos amb setfacl als programes que volem limitar per tal
que el grup adults pugui entrar
# setfacl -s g:adults:r-x /usr/bin/p1
# setfacl -s g:adults:r-x /usr/bin/p2
# setfacl -s g:adults:r-x /usr/bin/p3
.
.
.
# setfacl -s g:adults:r-x /usr/bin/pN
ara prohibim als altres usuaris executar els programes a restringir:
# setfacl -s o:--- /usr/bin/p1
# setfacl -s o:--- /usr/bin/p2
.
.
.
# setfacl -s o:--- /usr/bin/pN
I ja està fet, si funciona ACL's ( és així com va setfacl ??? )
Si no tenim configurat el nucli per tal que ACL's funcioni , canviarem
els grups dels programes perillosos amb:
# chgrp adults /usr/bin/p1
# chgrp adults /usr/bin/p2
.
.
.
# chgrp adults /usr/bin/pN
ara canviem els permisos per tal que sols root i el grup adults puguen
executar el programa perillós:
# chmod 750 /usr/bin/p1
# chmod 750 /usr/bin/p2
.
.
.
# chmod 750 /usr/bin/pN
ara asignem els usuaris adults/pares/mestres al grup adults:
# adduser usuari1 adults
# adduser usuari2 adults
# adduser usuari3 adults
I ja està fet si no teniem el nucli adaptat pr emprar ACL's
Si us sembla bé la xuleta i ningú em corregeix res la provaré demà, no
m'atreveixo a tocar tants permisos si algú més expert no em diu que
vaig ben encaminat.
Gràcies a tots per posar-me sobre la pista.
Joan.
--
Juan Perez.
--
Juan Perez.
