Запуск приложений с правами другого пользователя.

vadik	# 12 лет, 7 месяцев назад (отредактировано 12 лет, 7 месяцев назад)
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	На досуге решил немного позаморачиваться с настройками безопасности своего десктопа и в результате поисков нашел в интернете статью http://ycbl.livejournal.com/44509.html Вкратце. Как запустить FF с правами другого пользователя? добавляем пользователя ff с отключённым паролем: su adduser ff запускаем visudo User_Alias X_USERS = yourusername Defaults:X_USERS env_reset Defaults:X_USERS env_keep += DISPLAY Defaults:X_USERS env_keep += XAUTHORITY yourusername yourhostname=(ff) NOPASSWD: /usr/bin/firefox Теперь перекинем рабочий каталог браузера в свежесозданный домашний каталог пользователя ff и поменяем права доступа на все файлы и подкаталоги: mv ~yourusername/.mozilla ~ff/ -iv chown ff:users ~ff/.mozilla/ -Rfv Далее надо разрешить любому пользователю нашей системы подключаться к запущенной текущим пользователем (то есть нами) графической оболочке – X-серверу. Для этого воспользуемся командой xhost +yourhostname . Чтобы запустить Фаерфокс, нам теперь надо набирать команду таким образом: sudo -u ff -H firefox Смущает дата статьи - 2007-07-09. В общем вопрос к бывалым - насколько описанная метода правильна и актуальна на сегодняшний день. Про аппармор и селинукс слышал, но понятия не имею даже поверхностного. Файрвол тоже не вариант. В общем высказываемся.

# 12 лет, 7 месяцев назад (отредактировано 12 лет, 7 месяцев назад)

Сообщения: 5395

Участник с: 17 августа 2009

На досуге решил немного позаморачиваться с настройками безопасности своего десктопа и в результате поисков нашел в интернете статью
http://ycbl.livejournal.com/44509.html
Вкратце. Как запустить FF с правами другого пользователя?
добавляем пользователя ff с отключённым паролем:

su
adduser ff

запускаем visudo

User_Alias X_USERS = yourusername
Defaults:X_USERS env_reset
Defaults:X_USERS env_keep += DISPLAY
Defaults:X_USERS env_keep += XAUTHORITY
yourusername yourhostname=(ff) NOPASSWD: /usr/bin/firefox

Теперь перекинем рабочий каталог браузера в свежесозданный домашний каталог пользователя ff и поменяем права доступа на все файлы и подкаталоги:

mv ~yourusername/.mozilla ~ff/ -iv
chown ff:users ~ff/.mozilla/ -Rfv

Далее надо разрешить любому пользователю нашей системы подключаться к запущенной текущим пользователем (то есть нами) графической оболочке – X-серверу. Для этого воспользуемся командой

xhost +yourhostname

.
Чтобы запустить Фаерфокс, нам теперь надо набирать команду таким образом:

sudo -u ff -H firefox

Смущает дата статьи - 2007-07-09.
В общем вопрос к бывалым - насколько описанная метода правильна и актуальна на сегодняшний день. Про аппармор и селинукс слышал, но понятия не имею даже поверхностного. Файрвол тоже не вариант. В общем высказываемся.

sysmouse	# 12 лет, 7 месяцев назад
Темы: 7 Сообщения: 577 Участник с: 17 июня 2008	Что же вы все сами себе проблемы какие-то создаете :3 насколько описанная метода правильна и актуальна на сегодняшний день Ну ты попробовал сделать так как описано? Получилось? Про аппармор и селинукс слышал, но понятия не имею даже поверхностного. Файрвол тоже не вариант. В общем высказываемся. Высказываемся про что? Про то, что аппармор и селинукс на десктопе не нужны? И при чем здесь файервол? Ты просто гениально смешал в кучу выполнение программ от другого пользователя, расширенные права и сетевой фильтр. Задай конкретный вопрос.

sysmouse

# 12 лет, 7 месяцев назад

Темы: 7

Сообщения: 577

Участник с: 17 июня 2008

Что же вы все сами себе проблемы какие-то создаете :3

насколько описанная метода правильна и актуальна на сегодняшний день

Ну ты попробовал сделать так как описано? Получилось?

Про аппармор и селинукс слышал, но понятия не имею даже поверхностного. Файрвол тоже не вариант. В общем высказываемся.

Высказываемся про что? Про то, что аппармор и селинукс на десктопе не нужны? И при чем здесь файервол?
Ты просто гениально смешал в кучу выполнение программ от другого пользователя, расширенные права и сетевой фильтр. Задай конкретный вопрос.

vadik	# 12 лет, 7 месяцев назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	sysmouse Ну ты попробовал сделать так как описано? Получилось? попробовал и получилось (естествено). Просто хотелось бы услышать мнение знающих людей о том насколько данный метод оправдан с точки зрения безопасности. В дальнейшем хочу подобным образом “вынести” wine с вин-прогами, а у себя в каталоге оставить только симлинки. Стоит ли игра свеч? sysmouse Высказываемся про что? Про то, что аппармор и селинукс на десктопе не нужны? И при чем здесь файервол? Ты просто гениально смешал в кучу выполнение программ от другого пользователя, расширенные права и сетевой фильтр. Задай конкретный вопрос. Высказываемся естественно про указанный метод, а не про нужность аппармора, селинукса и файервола (перечислил их исключительно ради того, что бы не быть посланным в том направлении). Тем более для меня все эти приблуды - темный лес, а работать надо сейчас и жилательно безопасно.

vadik

# 12 лет, 7 месяцев назад

Темы: 55

Сообщения: 5395

Участник с: 17 августа 2009

sysmouse
Ну ты попробовал сделать так как описано? Получилось?

попробовал и получилось (естествено). Просто хотелось бы услышать мнение знающих людей о том насколько данный метод оправдан с точки зрения безопасности. В дальнейшем хочу подобным образом “вынести” wine с вин-прогами, а у себя в каталоге оставить только симлинки. Стоит ли игра свеч?

sysmouse
Высказываемся про что? Про то, что аппармор и селинукс на десктопе не нужны? И при чем здесь файервол?
Ты просто гениально смешал в кучу выполнение программ от другого пользователя, расширенные права и сетевой фильтр. Задай конкретный вопрос.

Высказываемся естественно про указанный метод, а не про нужность аппармора, селинукса и файервола (перечислил их исключительно ради того, что бы не быть посланным в том направлении). Тем более для меня все эти приблуды - темный лес, а работать надо сейчас и жилательно безопасно.

mango	# 12 лет, 7 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	Могу вам посоветовать VirtulBox и в нем венду. Плюсы - реально родное “вендозное”(читай: “нативное”) окружения для вин программ. Нет проблем с вин-программами, которые касячут в Wine-е. Изолированность вин системы от вашего рабочего окружения в линуксе. Минусы - на ум пришло только два. Первый - установка не лицензионных программ и второе - хоть венда и в вертуалке - она всё равно прекрасно может ловить вирусы.

mango

# 12 лет, 7 месяцев назад

Темы: 43

Сообщения: 1521

Участник с: 18 декабря 2008

Могу вам посоветовать VirtulBox и в нем венду.
Плюсы - реально родное “вендозное”(читай: “нативное”) окружения для вин программ. Нет проблем с вин-программами, которые касячут в Wine-е. Изолированность вин системы от вашего рабочего окружения в линуксе.
Минусы - на ум пришло только два. Первый - установка не лицензионных программ и второе - хоть венда и в вертуалке - она всё равно прекрасно может ловить вирусы.

vadik	# 12 лет, 7 месяцев назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	У VirtulBox есть еще и третий минус (для меня самый важный) - нужен достаточный объем ОЗУ. На 256 Мб сильно не навиртуалишся, а описанный мною метод вроде как срабатывает. Тему завел ради того чтоб узнать минусы подобного подхода и возможно еще какие-нибудь варианты.

vadik

# 12 лет, 7 месяцев назад

Темы: 55

Сообщения: 5395

Участник с: 17 августа 2009

У VirtulBox есть еще и третий минус (для меня самый важный) - нужен достаточный объем ОЗУ. На 256 Мб сильно не навиртуалишся, а описанный мною метод вроде как срабатывает. Тему завел ради того чтоб узнать минусы подобного подхода и возможно еще какие-нибудь варианты.

mango	# 12 лет, 7 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	мдя, 256 - не очень то. Просто от самого себя не убежишь…

lunick	# 12 лет, 6 месяцев назад
Темы: 35 Сообщения: 174 Участник с: 10 ноября 2008	я запускаю например вот так $ su -l user -c “vlc”

h4tr3d	# 12 лет, 6 месяцев назад
Темы: 34 Сообщения: 2656 Участник с: 12 июля 2007	lunick я запускаю например вот так $ su -l user -c “vlc” лушче через sudo -u user vlc - пароль свой вводить, плюс можно настроить: 1. без пароля 2. индивидуально для каждой программы, если потребуется. systemd должен умереть.

vadik	# 12 лет, 6 месяцев назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	lunick я запускаю например вот так $ su -l user -c “vlc” черз sudo sudo -u user_name -H firefox кстати удобно, в случае проблем просто снес папку с конфигом нового юзера, и со своей папки восстановил профиль. “Хитрый” бэкап получается. :)