Zdravim, chcem vytvorit guest usera ktory nebude mat pristup (ani read) k nicomu okrem svojho $HOME a vybranym programom. Ako na to? Da sa to aj bez instalacie selinuxu? System je Ubuntu 7.04. Za rady vopred dakujem.
pokiaľ nevyžaduješ grafiku ale robíš len webhosting tak napríklad :
http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/
http://chrootssh.sourceforge.net/index.php
ak by si chcel zavrieť viacero programov do chrootu tak by to skončilo s tým že by si mal takmer celý systém nahodený dva krát a takmer nič z toho. To už môžeš rovno nahodiť sekundárnu inštaláciu OS vo virtualizátore sprístupnenom cez VNC alebo podobný vzdialený protokol. Ak by si chcel meniť práva na systéme tak aby ti guest nečítal odinakial ako je jeho home, tak je to hovadina beď by nespustil ani shell. Ak by si chcel aby nezapisoval inde ako je jeho home (a tmp) tak to je už dávno zabezpečené aj v štandardnej inštalácii. Teda pokiaľ si si násilím nepredefinovával prípojné body, najmä pre NTFS a FAT disky ako tu vídavam v poslednej dobe.
:ak by si chcel zavrieť viacero programov do chrootu tak by to skončilo s tým že by si mal takmer celý systém nahodený dva krát
prave tomu by som sa rad vyhol
:To už môžeš rovno nahodiť sekundárnu inštaláciu OS vo virtualizátore
to by navyse utrpel este aj vykon
:Ak by si chcel meniť práva na systéme tak aby ti guest nečítal odinakial ako je jeho home, tak je to hovadina beď by nespustil ani shell.
prava by som chcel nastavit tak aby sa shell spustit dal rovnako ako aj vybrane programy (umiestnene mimo $HOME uzivatela guest). Priorita cislo jedna je zabranit uzivatelovi guest v citani $HOME dalsich uzivatelov.
posledných viac ako 5 rokov sa pri zakladaní užívateľa v linuxe zvykne vytvoriť preňho aj zvláštna skupina ktorej je jeho jediný účastník a volá sa rovnako ako on. takže aj toto zvykne byť pripravené, predpokladám že si to už skúšal, teda aspoň sa pozrieť na obsah /home a samozrejme aj ako sú definované štandardné práva.
Ak trpíš paranojou, tak si naštuduj niečo o bezpečnosti v praxi, väčšina z nás už s tým prešla. A ak by to nepomohlo, tak kedysi bol projekt na kryptovanie užívateľských domovských adresárov, pre každého zvlášt. Ak chceš, tak to premigruj na fuse.
vytvorit novu skupinu (users2), vytvorit uzivatela guest, pridat ho do tej skupiny, a potom uz len mat spravne nastavene priznaky na citanie napr. /home/shade len pre group teda 750
http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/
http://chrootssh.sourceforge.net/index.php
ak by si chcel zavrieť viacero programov do chrootu tak by to skončilo s tým že by si mal takmer celý systém nahodený dva krát a takmer nič z toho. To už môžeš rovno nahodiť sekundárnu inštaláciu OS vo virtualizátore sprístupnenom cez VNC alebo podobný vzdialený protokol. Ak by si chcel meniť práva na systéme tak aby ti guest nečítal odinakial ako je jeho home, tak je to hovadina beď by nespustil ani shell. Ak by si chcel aby nezapisoval inde ako je jeho home (a tmp) tak to je už dávno zabezpečené aj v štandardnej inštalácii. Teda pokiaľ si si násilím nepredefinovával prípojné body, najmä pre NTFS a FAT disky ako tu vídavam v poslednej dobe.
prave tomu by som sa rad vyhol
:To už môžeš rovno nahodiť sekundárnu inštaláciu OS vo virtualizátore
to by navyse utrpel este aj vykon
:Ak by si chcel meniť práva na systéme tak aby ti guest nečítal odinakial ako je jeho home, tak je to hovadina beď by nespustil ani shell.
prava by som chcel nastavit tak aby sa shell spustit dal rovnako ako aj vybrane programy (umiestnene mimo $HOME uzivatela guest). Priorita cislo jedna je zabranit uzivatelovi guest v citani $HOME dalsich uzivatelov.
Ak trpíš paranojou, tak si naštuduj niečo o bezpečnosti v praxi, väčšina z nás už s tým prešla. A ak by to nepomohlo, tak kedysi bol projekt na kryptovanie užívateľských domovských adresárov, pre každého zvlášt. Ak chceš, tak to premigruj na fuse.