ограничение прав пользователя

SmiGes	# 12 лет, 4 месяца назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	как можно ограничить права пользователя кроме того как он и так не находится в группах никаких кроме своей, судоерсом не является. а вот как бы еще ему поурезать чего-нибудь?

Nebulosa	# 12 лет, 4 месяца назад
Темы: 10 Сообщения: 831 Участник с: 05 марта 2009	А что этот пользователь должен делать?..

sysmouse	# 12 лет, 4 месяца назад
Темы: 7 Сообщения: 577 Участник с: 17 июня 2008	а вот как бы еще ему поурезать чего-нибудь? Удалить.

incognito	# 12 лет, 4 месяца назад
Темы: 12 Сообщения: 37 Участник с: 01 мая 2009	Пользователю можно выставить ограничения по использованию процессорного времени, максимальное количество процессов,максимальное количество одновременных логинов пользователя в системе, ограничение максимального количества открытых файлов. Все это организуется при помощи модуля pam_limits.so используемый login.

incognito

# 12 лет, 4 месяца назад

Темы: 12

Сообщения: 37

Участник с: 01 мая 2009

Пользователю можно выставить ограничения по использованию процессорного времени, максимальное количество процессов,максимальное количество одновременных логинов пользователя в системе, ограничение максимального количества открытых файлов. Все это организуется при помощи модуля pam_limits.so используемый login.

SmiGes	# 12 лет, 4 месяца назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	Nebulosa А что этот пользователь должен делать?.. ну допустим он сможет авторизовываться и работать, но некоторые команды для него должны быть запрещены, такие как rm скажем, что у нас там ещё опасное бывает. просто хочу юзера для ссш сделать

SmiGes

# 12 лет, 4 месяца назад

Темы: 166

Сообщения: 836

Участник с: 04 августа 2009

Nebulosa
А что этот пользователь должен делать?..

ну допустим он сможет авторизовываться и работать, но некоторые команды для него должны быть запрещены, такие как rm скажем, что у нас там ещё опасное бывает. просто хочу юзера для ссш сделать

Nebulosa	# 12 лет, 4 месяца назад
Темы: 10 Сообщения: 831 Участник с: 05 марта 2009	SmiGes и работать Повторю вопрос: что этот пользователь должен делать?.. Когда заводим юзера, указываем домашнюю папку, ну совбтвенно и всё.. в пределах папки он может работать. Главное чтобы его в группу wheel не заносить.

SmiGes	# 12 лет, 4 месяца назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	Nebulosa SmiGes и работать Повторю вопрос: что этот пользователь должен делать?.. Когда заводим юзера, указываем домашнюю папку, ну совбтвенно и всё.. в пределах папки он может работать. Главное чтобы его в группу wheel не заносить. я ж написал что надо для него игнор сделать на запуск некоторых бинарников, скажем rm чтоб не мог запускать и.т.д. юзер для ссш! скока писать нужно? выше это я всё уже написалъ ^

SmiGes

# 12 лет, 4 месяца назад

Темы: 166

Сообщения: 836

Участник с: 04 августа 2009

Nebulosa
SmiGes
и работать

Повторю вопрос: что этот пользователь должен делать?..

Когда заводим юзера, указываем домашнюю папку, ну совбтвенно и всё.. в пределах папки он может работать. Главное чтобы его в группу wheel не заносить.

я ж написал что надо для него игнор сделать на запуск некоторых бинарников, скажем rm чтоб не мог запускать и.т.д. юзер для ссш! скока писать нужно? выше это я всё уже написалъ ^

mango	# 12 лет, 4 месяца назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	SmiGes Nebulosa А что этот пользователь должен делать?.. ну допустим он сможет авторизовываться и работать, но некоторые команды для него должны быть запрещены, такие как rm скажем, что у нас там ещё опасное бывает. просто хочу юзера для ссш сделать Обычный юзер может делать ВСЁ ЧТО УГОДНО сугубо в “своей песочнице”, то б то в /home/new_user/ . Пусть там себе живёт и делает что хочет. ну что страшного если но сделает rm в своей директории? Если у него не будет прав суперюзера (выключаем его из судуюзерс), то он никак не повлияет на работоспособность системы

mango

# 12 лет, 4 месяца назад

Темы: 43

Сообщения: 1521

Участник с: 18 декабря 2008

SmiGes
Nebulosa
А что этот пользователь должен делать?..
ну допустим он сможет авторизовываться и работать, но некоторые команды для него должны быть запрещены, такие как rm скажем, что у нас там ещё опасное бывает. просто хочу юзера для ссш сделать

Обычный юзер может делать ВСЁ ЧТО УГОДНО сугубо в “своей песочнице”, то б то в /home/new_user/ . Пусть там себе живёт и делает что хочет.
ну что страшного если но сделает rm в своей директории? Если у него не будет прав суперюзера (выключаем его из судуюзерс), то он никак не повлияет на работоспособность системы

SmiGes	# 12 лет, 4 месяца назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	ну эт понятно, но всеравно, да и допустим я нехочу чтобы он пользовался некоторыми программами

Nebulosa	# 12 лет, 4 месяца назад
Темы: 10 Сообщения: 831 Участник с: 05 марта 2009	SmiGes ну эт понятно, но всеравно, да и допустим я нехочу чтобы он пользовался некоторыми программами Ставьте тогда на бинарниках бит suid В качестве примера как это работает проделайте сделающее - попробуйте смонтировать iso образ в одну из папок в домашней директории. Вроде бы прав должно хватать, все папки доступны, однако запускать команду mount может только root. http://habrahabr.ru/blogs/infosecurity/84635/

Nebulosa

# 12 лет, 4 месяца назад

Темы: 10

Сообщения: 831

Участник с: 05 марта 2009

SmiGes
ну эт понятно, но всеравно, да и допустим я нехочу чтобы он пользовался некоторыми программами

Ставьте тогда на бинарниках бит suid

В качестве примера как это работает проделайте сделающее - попробуйте смонтировать iso образ в одну из папок в домашней директории. Вроде бы прав должно хватать, все папки доступны, однако запускать команду mount может только root.

http://habrahabr.ru/blogs/infosecurity/84635/