jak udelat "weak usera"?

[KtK]

V linuxu. Tj. aby videl pouze a jenom svuj ~. aby nemoohl ani cist natoz zapisovat na zbytek adresarovyho stromu?

[Wohmatak]

priradit ostatni usery do skupiny "power" (napr. ) a nastavit prava na ty slozky
rwxr-x---
vlastnik root, grupa power

[KtK]

jenze to bych musel menit prakticky vsechno, vzdyt je defaultne tusim rw-r--r--
to posledni rko mi vadi, a preci nemuzu takhle znasilnit celej ardesarovej strom, to bych mohl roz.. naky programy, ne?

[Wohmatak]

pockej a kdyz o tom tak uvazuju, k cemu ten user vlastne bude?

[KtK]

aby si mohl spustit prg, kterej je na mym stroji, ale nemohl se hrabat jinde. kdyz nema lin, a ten prg je pod lin.

[Wohmatak]

no tak to ti staci odeprit prava na /bin/sh ne?

[fish]

aby si mohl spustit prg, kterej je na mym stroji, ale nemohl se hrabat jinde. kdyz nema lin, a ten prg je pod lin.

Na taketo veci sluzi prikaz chroot. Spusti mu ho po prihlaseni a potom daj hned exit. Rataj ale s tym ze sa naozaj nikde nedostane (ani k dynamickym knizniciam) preto mu musis pripravit vsetko pre beh programu v jeho adresari.

[Wohmatak]

no pockej, chroot ti zmeni root disku, to mu budes muset vsechny aplikace nahazet do toho jeho vlastniho rootu... to neni optimalni reseni

[Gargamel]

Co takhle restricted shell Ale chce to tam nejak povolit tu jednu aplikaci.

[Wohmatak]

http://www.scrye.com/~kevin/lsh/Secu...#file-security

snad pomuze
zajimavej je celej dokument, rozhodne stoji aspon za rychly prolitnuti...
ps: bacha, paranoia je jedna z nejhorsich nemoci

[jedik]

a pokud to dobre chapu chces aby se mu po loginu pustil jen dany program? tak to prece staci v /etc/passwd uvest u toho usera misto /bin/sh ci co tam ma ten program ne?

[Wohmatak]

ja to teda pochopil tak, ze chce mit normalniho usera, ale nechce aby danej user poustel vlastni binarky aby mel prava jenom na spousteni tech v systemu (tzn. povoleni/nainstaleny rootem...)
asi nechce aby mu tam nekdo zkousel exploity

takze jak to je?