Felhasznaloi programok engedelyezese

Problema: Userek futtatnak sajat konyvtarukbol programokat. (~5 adott program 3-4 verzioja kozul barmelyiket).
Le kell korlatozni, hogy csak a megadott programokat futtathassa, es a na-ezzel-jol-ledosolok-egy-adsl nevu progit nem.

15-20 perc googlezes utan egyedul a DigSig modult talaltam, de itt az egesz rendszer osszes binarist/libraryt/kernelmodult ala kell irni. ez iszonyu nagy munka, foleg ha frissiteni kell egy fajlt.

Aztan a dazuko-t neztem ki. Az example progi jol mukodott, de sajna az egesz sz@r: a kernel minden fajlelereskor egy userspace programra var. ha ezt a progit tortenetessen egy kill -9 kigyilkolja, akkor a kernel egy nemletezo processre var. lol.

Igy marad a sajat modul irasa: a adott konyvtar (es alkonyvtaraibol) inditott program elso 4k- reszebol egy md5 szamitas, es ez osszeshasonlitasa az engedelyezett programokkal. Valamint a /tmp-bol sem lehet inditani semmit.
Persze minden configolhato a proc-on keresztul: tmp tiltas ki/be kapcsolasa, az egesz tiltas ki/be kapcsolasa (ilyenkor csak jelenti a kernel.log-ba, hogy ki mit inditott)

Igy mukodik (az ls-nek direkt van rosszul az md5-je, hogy ne futhasson):


root@ubuntu-test:~# modprobe restrictrun
FATAL: Error inserting restrictrun (/lib/modules/2.6.20-15-server/misc.ko): Invalid argument
root@ubuntu-test:~# modprobe restrictrun path=/home/users
root@ubuntu-test:~# cat /etc/allowrun-md5.conf >/proc/restrictrun/md5
root@ubuntu-test:~# egrep 'aa.sh|ls' /proc/restrictrun/md5
aa.sh   4cf24418512edd212d19ff166bceaaf0
ls-bad      b499d5d43c1897ca5061a66a8aeb572_
root@ubuntu-test:~# (cd /home/users; ./aa.sh)
aa.sh  ls-bad
root@ubuntu-test:~# echo 1 >/proc/restrictrun/enforce
root@ubuntu-test:~# (cd /home/users; ./aa.sh)
./aa.sh: 2: ./ls-bad: Operation not permitted
root@ubuntu-test:~# echo 0 >/proc/restrictrun/enforce
root@ubuntu-test:~# /tmp/ls-bad /media/
cdrom  cdrom0  floppy  floppy0
root@ubuntu-test:~# echo 1 >/proc/restrictrun/disabletmp
root@ubuntu-test:~# echo 1 >/proc/restrictrun/enforce
root@ubuntu-test:~# /tmp/ls-bad
bash: /tmp/ls-bad: Operation not permitted

Debian forras: http://elbandi.net/restrictrun/
Telepites:


dpkg-buildpackage -us -uc -b
dpkg -i restrictrun-*
apt-get install module-assistant linux-headers-$(uname -r)
module-assistant a-i restrictrun
nano /etc/default/restrictrun
/etc/init.d/restrictrun start

Elbandi blogja
A hozzászóláshoz be kell jelentkezni
992 megtekintés

http://lwn.net/Articles/252562/ SMACK
vagy SELinux-al nem próbáltad?

linux v2.6.22.15 + madwifi v0.9.3.3-mal itt
debian gnu/linux @ linux-2.6.22.17-rc2-szami2

0 szavazat

A hozzászóláshoz be kell jelentkezni

selinux kicsit nagyfa kategoria... a smack meg valami labelt hasznal, ami a binarishoz kotott, ha user torli a binarist, es ujat masol fel, akkor megmarad a label? ekkor viszon nem lehetunk biztosak, hogy nem a dosoljuk-le-az-adsl-t tolti fel progineve neven.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

0 szavazat

A hozzászóláshoz be kell jelentkezni

Friss hozzászólások

Bezzeg Biden, aki ugyanennyi… 2025-08-05T04:19:33+0200
Volt egy kezdeti tippem,… 2025-08-05T01:50:12+0200
Jó gondolat, köszönöm! :)
2025-08-05T01:09:44+0200
blacklist-el probalnam
https… 2025-08-05T01:06:33+0200
Olvastam a threadet, a … 2025-08-05T00:46:55+0200
ubi wifi jo, ha router kell… 2025-08-05T00:46:22+0200
Lehet szopni azokkal is,… 2025-08-05T00:32:24+0200
Remek! Minden esetre nem én… 2025-08-04T23:54:58+0200
AMD Ryzen 5 5600G with… 2025-08-04T23:29:23+0200
*.nat.pool.telekom.hu -… 2025-08-04T23:24:24+0200

Felhasznaloi programok engedelyezese

Hozzászólások