|
|
Prawa dostępu do katalogów poza /
Spectral Lynx - 01-01-2009 04:07
Chciałbym żeby użytkownicy nie mieli praw odczytu (albo przynajmniej mieli ich jak najmniej) dla katalogów innych niż ich home. Ale nie wiem nawet jak wyszukać o tym info (zapytanie w Google) :-/ . Podejrzewam że zmiana uprawnień całego / miałaby katastrofalne skutki...
Byłbym wdzięczny za jakiekolwiek informacje/sugestie. Czy ma to jakiś sens? I czy jest w praktyce wykonalne?
PS: Próbowałem szukać w Google jak i na forum, bezskutecznie.
lis6502 - 01-01-2009 11:06
Gdybyś tak zrobił, użytkownik nie odpaliłby żadnego programy, nie przeczytał pliku konfiguracji, etc. chyba, że chodzi Ci żeby jeden nie mógł odczytać ~ drugiego.To jest wykonalne.
Spectral Lynx - 01-01-2009 11:44
Właśnie to podejrzewałem. To z home już zrobiłem. Ale dla których katalogów mogę zmienić uprawnienia? Taki /root, /sbin, /boot, /proc, /mnt, /media, nie wydają się potrzebne dla zwykłego użytkownika.
lis6502 - 01-01-2009 13:29
Gdzieś na forum był już poruszany taki problem. Po doinstalowaniu pewnego pakietu pojawiał się w /etc jakiś plik konfiguracyjny, dzięki któremu możesz ustawić prawa do wychodzenia poza ~. Wydaje mi się że to był jakiś plik *allow albo *deny. Poszukaj.
Spectral Lynx - 01-01-2009 15:59
Nie mogę nic znaleźć. Masz może jakieś jeszcze informacje? Poszukam jeszcze raz dokładniej.
lis6502 - 01-01-2009 20:13
Na razie znalazłem tylko to, nie umiem dokopać się do tematu na forum (może któryś moderator pomoże? ^^).
Jeszcze zastanawiam się nad możliwościami SELinuksa.
/proc _musi_ być czytelne dla użytkownika, tak samo jak /dev
JEST! Chyba mam to, o co Ci chodziło
# /etc/security/namespace.conf
#
# See /usr/share/doc/pam-*/txts/README.pam_namespace for more information.
#
# Uncommenting the following three lines will polyinstantiate
# /tmp, /var/tmp and user's home directories. /tmp and /var/tmp will
# be polyinstantiated based on the MLS level part of the security context as well as user
# name, Polyinstantion will not be performed for user root and adm for directories
# /tmp and /var/tmp, whereas home directories will be polyinstantiated for all users.
# The user name and context is appended to the instance prefix.
#
# Note that instance directories do not have to reside inside the
# polyinstantiated directory. In the examples below, instances of /tmp
# will be created in /tmp-inst directory, where as instances of /var/tmp
# and users home directories will reside within the directories that
# are being polyinstantiated.
#
# Instance parent directories must exist for the polyinstantiation
# mechanism to work. By default, they should be created with the mode
# of 000. pam_namespace module will enforce this mode unless it
# is explicitly called with an argument to ignore the mode of the
# instance parent. System administrators should use this argument with
# caution, as it will reduce security and isolation achieved by
# polyinstantiation.
#
#/tmp /tmp-inst/ level root,adm
#/var/tmp /var/tmp/tmp-inst/ level root,adm
#$HOME $HOME/$USER.inst/ level
Spectral Lynx - 01-01-2009 21:12
Kurczak, trudne to... :-/
Przegryzę to jutro, może zrozumiem...
Tak czy siak dziękuję, nigdy tego bym nie znalazł...
Edit:
Teraz już rozumiem. Co do linka to jest dla AIX-a, zastanawiam się w jakim stopniu będzie kompatybilne.
Dowiedziałem się, że plik namespace.conf znajduje się w pakiecie libpam-modules.
Poczytam dokumentację i instaluję.
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
