ограничение прав пользователей в Solaris 10 / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / ограничение прав пользователей в Solaris 10

7 сообщений из 7, страница 1 из 1

ограничение прав пользователей в Solaris 10

#36100482

fabler

Участник

Откуда: СПб

Сообщения: 1 384

Рейтинг: 0 / 0

Всем доброго дня!

Есть ли возможность в солярке создания пользователя с правами на запуск только определенного набора команд (типа more, ping, traceroute) и пр.?
правами на файлы это не решается, т.к. у выполняемых файлов стоит аттрибут для others, позволяющий выполнение всеми, типа:

Код: plaintext

-bash-3.00$ ls -l /usr/bin/more
-r-xr-xr-x   2 root     bin        35236 Jan 23  2005 /usr/bin/more

куда копать? можно хоть ключевые слова для самостоятельного поиска.

...

Рейтинг:

0 / 0

21.07.2009, 12:33

| Ответить | Цитировать | Написать

ограничение прав пользователей в Solaris 10

#36100566

Андрей Панфилов

Участник

Откуда: Москва > Melbourne

Сообщения: 3 331

Рейтинг: 0 / 0

fabler,

проще всего делается через restricted shell (rbash вроде), принцип такой:
1. создается директория, в нее симлинками закидываются бинарники, которые можно запускать, директория прописывается в $PATH
2. в баше запрещается менять $PATH, запускать команды с '/' в пути (./, ../, /, bin/)

только учтите, что выдача прав на запуск любого sh, vi, mc, etc. сводят все попытки ограничить пользователя на нет.

...

Рейтинг:

0 / 0

21.07.2009, 12:57

| Ответить | Цитировать | Написать

ограничение прав пользователей в Solaris 10

#36100590

fabler

Участник

Откуда: СПб

Сообщения: 1 384

Рейтинг: 0 / 0

да я сам понимаю, что тема в основном административного характера решения.
если не сложно, просветите, как можно убрать права на замену PATH и запуск команды с '/' в пути (./, ../, /, bin/)?

другой путь - ввести аудит действий пользователей, вроде в солярке такая возможность есть, но пока непонятно, поможет ли она в этом вопросе или нет

...

Рейтинг:

0 / 0

21.07.2009, 13:03

| Ответить | Цитировать | Написать

ограничение прав пользователей в Solaris 10

#36100909

Андрей Панфилов

Участник

Откуда: Москва > Melbourne

Сообщения: 3 331

Рейтинг: 0 / 0

fabler,

да там вроде из коробки почти все:

1.2.2.10. The restricted shell
When invoked as rbash or with the --restricted or -r option, the following happens:

The cd built-in is disabled.

Setting or unsetting SHELL, PATH, ENV or BASH_ENV is not possible.

Command names can no longer contain slashes.

Filenames containing a slash are not allowed with the . (source) built-in command.

The hash built-in does not accept slashes with the -p option.

Import of functions at startup is disabled.

SHELLOPTS is ignored at startup.

Output redirection using >, >|, ><, >&, &> and >> is disabled.

The exec built-in is disabled.

The -f and -d options are disabled for the enable built-in.

A default PATH cannot be specified with the command built-in.

Turning off restricted mode is not possible.

нужно только директорию создать, туда накидать ссылок и указать ее как $PATH

...

Рейтинг:

0 / 0

21.07.2009, 14:30

| Ответить | Цитировать | Написать

ограничение прав пользователей в Solaris 10

#36101071

fandr

Участник

Откуда: ->Msk->SPb->Msk

Сообщения: 258

Рейтинг: 0 / 0

можно погрузиться в пучину - RBAC (role-based access control)

System Administration Guide: Security Services

...

Рейтинг:

0 / 0

21.07.2009, 15:33

| Ответить | Цитировать | Написать

ограничение прав пользователей в Solaris 10

#36101082

pavlenko

Гость

fabler,
Если достаточно только ключевого слова для google'ения, то RBAC
Собственно он и использует role shell.

...

Рейтинг:

0 / 0

21.07.2009, 15:36

| Ответить | Цитировать | Написать

ограничение прав пользователей в Solaris 10

#36101250

fabler

Участник

Откуда: СПб

Сообщения: 1 384

Рейтинг: 0 / 0

всем спасибо!

на первое время restricted shell хватает, в это время почитаю про RBAC.

...

Рейтинг:

0 / 0

21.07.2009, 16:22

| Ответить | Цитировать | Написать

7 сообщений из 7, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / ограничение прав пользователей в Solaris 10

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=36101250&tid=1485648]:	0ms
get settings:	6ms
get forum list:	15ms
check forum access:	3ms
check topic access:	3ms
track hit:	52ms
get topic data:	9ms
get forum data:	2ms
get page messages:	56ms
get tp. blocked users:	1ms
others:	257ms

total:	404ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы