|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Cybervlad 2:5020/400 08 Oct 2003 09:34:31
To : Il'ya Teterin
Subject : вопрос по взлому сервера
--------------------------------------------------------------------------------
Hello, Il'ya!
Wed Oct 08 2003 05:41, Il'ya Teterin wrote to Il'ya Teterin:
IyT> Криво, неоднозначно. Таки сплю :) Подразумевалось "запретить запуск всех
IyT> бинарников, кроме заданного, для uid".
Задача надуманная. Hо если даже такая всплывет, то это проще решать через
чрут, куда класть лишь то, что нужно и пускать этого юзера в чруте.
Если решать через права на ФС, то задача примерно одинаковая. С аклами тебе
придется проставить необходимые аклы на все бинарники. Тоже самое - с rwx.
Отрезать с бинарников права на запуск для other, а потом раздать необходимые
права через группы. Вот тут и вылазит преимущество мандатки: если тебе нужно
разрешить запуск этой бинари еще кому-то, просто включаешь его в соотв.
группу.
Идеология проста: если отрезаны права для other, вновь созданный юзер не имеет
права запускать вообще ничего, т.е. реализован принцип "запрещено все, что не
разрешено явно". Разрешения даются путем добавления в группу, а не шуршанию по
всей ФС и прописыванию аклов. При этом легко делается замена приложения. Если
рассматриваемый бинарь был нетскейпом, то при замене его на мозиллу/оперу,
юзеры-члены соотв. группы легко и непринужденно получают тот же функционал,
т.е. право запускать сущность "браузер". А теперь прикинь гимор с аклами в той
же ситуации.
regards, Vlad. --> http://www.free-unices.org/~cybervlad
--- ifmail v.2.15dev5
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
