Hozzászólások
Lehet hogy hulyeseget mondok, de ACL-el, nem lehet szabalyozni hogy melyik user ferhet hozza?
Ertem ez alatt azokrol a programokrol amelyket a root ne futtasson, leveszed csak a rootnak az x jogot.
- A hozzászóláshoz be kell jelentkezni
[quote:c120e94298="superfly"]Lehet hogy hulyeseget mondok, de ACL-el, nem lehet szabalyozni hogy melyik user ferhet hozza?
Ertem ez alatt azokrol a programokrol amelyket a root ne futtasson, leveszed csak a rootnak az x jogot.
Javitsatok ki, de szerintem 0-as uid-ra (=root) nincs is jogosultsag ellenorzes.
- A hozzászóláshoz be kell jelentkezni
Javitsatok ki, de szerintem 0-as uid-ra (=root) nincs is jogosultsag ellenorzes.
Hm megneztem, chmod 000 utan meg mindig siman olvassa.
Igazad van.
---------- 1 root root 6 Jan 30 19:28 x
localhost ~ # ./x
-bash: ./x: Permission denied
- A hozzászóláshoz be kell jelentkezni
Hogyan tudom megakadályozni, hogy a firefox gaim és hasonló programok root-ként futtathatóak legyenek. Elvettem a futtatási jogot a root user és root group-tól. chmod 667 /usr/bin/firefox. De "mindenkinek" természetesen meg kellett hagynom, így viszont root is indíthatta továbbra is.
Természetesen a root bármikor visszaállíthatja, nem belső biztonsági okokból kell, csak a saját figyelmetlenségeim elkerülésére.
- A hozzászóláshoz be kell jelentkezni
szerintem sehogy
a netscape annak idején külön figyelt rá és root-ként nem indult el. de erre a saját kódja figyelt, nem az oprendszer
- A hozzászóláshoz be kell jelentkezni
a firefoxot egy shell script indítja általában, ami a firefox-bin-t hívja meg. Annak ez elejére kell egy if uid=0 then exit fi. Ha nem így van a distribedben (vagy nem az installerrel pakoltad fel valahova), akkor írsz egy firefox shellscriptet, ami majd meghívja az igazi firefox-ot, miután megnézi az uid=0 e. aztan mv az eredeti firefox mondjuk firefox.bin.orig neven. Ezutan mar csak a scripttet kell megirnod firefox neven. Es persze az utvonalba rakni.
Shellscript rulzik.
- A hozzászóláshoz be kell jelentkezni
Firefox-nél minden rendben is van. De az amsn scriptje rejtélyes hibákat csinál.
[code:1:c1acd465f3]
#!/bin/bash
if [ "$UID" = "0" ]
then
exit
fi
#!/bin/bash
# \
exec wish $0
############################################################
### Hide the window until it has been fully displayed
############################################################
package require Tk
wm state . withdraw
############################################################
### Some global variables
############################################################
set version "0.95"
set date "12/22/2005"
set weburl "http://amsn.sourceforge.net"
set program_dir "."
set HOME ""
...
[/code:1:c1acd465f3]
ebben az esetben userként indítva az új amsn scriptet, ezt a hibaüzenetet kapom:
$ amsn
Error in startup script: can't read "UID": no such variable
while executing
""$UID" = "0" "
invoked from within
"if [ "$UID" = "0" ] "
(file "/usr/bin/amsn" line 3)
Miért?? 8O
- A hozzászóláshoz be kell jelentkezni
[quote:7bed269deb="zoozo"]Firefox-nél minden rendben is van. De az amsn scriptje rejtélyes hibákat csinál.
...
Miért?? 8O
Mert wish-sel lefutatja saját magát, és a wish nem tud az UID-ról. Ne módosítsd ezt a scriptet, hanem írj egy újat, ami leellenőrzi az UID-et és meghívja ezt. Tulajdonképpen ez nem egy shell script, hanem egy tcl/tk script.
- A hozzászóláshoz be kell jelentkezni
[quote:7cf62e7aa7="zoozo"]
[code:1:7cf62e7aa7]
#!/bin/bash
if [ "$UID" = "0" ]
then
exit
fi
#!/bin/bash
# \
exec wish $0
[/code:1:7cf62e7aa7]
ebben az esetben userként indítva az új amsn scriptet, ezt a hibaüzenetet kapom:
$ amsn
Error in startup script: can't read "UID": no such variable
while executing
""$UID" = "0" "
invoked from within
"if [ "$UID" = "0" ] "
(file "/usr/bin/amsn" line 3)
Miért??
Szerinted???
...
Mivel az exec wish $0
a wish-el futtatana a scriptedet. A tcl meg nem ismer $UID valtozot ...
Zsiraf
p.s.: a script ele is kene egy script-et irnod... :-)
- A hozzászóláshoz be kell jelentkezni
[quote:5588989480="szaszg"]
p.s.: a script ele is kene egy script-et irnod... :-)
Nem volt már jobb ötletem, és jobban szerettem volna egy scriptben megoldani a problémát mint kettőben.
- A hozzászóláshoz be kell jelentkezni
pedig nem celszeru belenyulni a gyari scriptekbe. Ezért írtam hogy inkább a shellscripttel old meg. Mint látod az a jobb. Amúgy a shellscriptes megoldás arra is jó, ha valamiből több verziód van a gépen. Mivel én főleg LFS-ezek a Debian mellett, nekem szinte minden így van megoldva, hogy tudjak tesztelni.
Szóval megint csak : Shellscript rulez!
- A hozzászóláshoz be kell jelentkezni
[quote:3eec60edf3="zoozo"][quote:3eec60edf3="szaszg"]
p.s.: a script ele is kene egy script-et irnod... :-)
Nem volt már jobb ötletem, és jobban szerettem volna egy scriptben megoldani a problémát mint kettőben.
Ja, ha frissitesz, akkor meg irhatod ujra...
Zsiraf
- A hozzászóláshoz be kell jelentkezni
[quote:decee471d8="zoozo"]Hogyan tudom megakadályozni, hogy a firefox gaim és hasonló programok root-ként futtathatóak legyenek. Elvettem a futtatási jogot a root user és root group-tól. chmod 667 /usr/bin/firefox. De "mindenkinek" természetesen meg kellett hagynom, így viszont root is indíthatta továbbra is.
Természetesen a root bármikor visszaállíthatja, nem belső biztonsági okokból kell, csak a saját figyelmetlenségeim elkerülésére.
DE ez nem security megfontolas, csak kenyelem, ugye? Nyilvan aki root lesz az barmikor vissza is allithatja ezt. ;) Vagy csak attol akarod megvdeni magad, hogy veletlenul ne indits firefoxot? Arra okes.
- A hozzászóláshoz be kell jelentkezni
[quote:19a6b80e73="zoozo"]Hogyan tudom megakadályozni, hogy a firefox gaim és hasonló programok root-ként futtathatóak legyenek. ... Természetesen a root bármikor visszaállíthatja, nem belső biztonsági okokból kell, csak a saját figyelmetlenségeim elkerülésére.
Tiltsd le a root X elérését. Nekem a gdm.conf-ban van egy "AllowRoot=false" beállítás. A KDE-t sajna nem ismerem.
Ha nagyon kell grafikus progi X alatt, akkor még mindig nyomhatsz egy "sudo firefox"-ot.
- A hozzászóláshoz be kell jelentkezni