URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 43824
[ Назад ]

Исходное сообщение
"FreeBSD, безопасность! напомните плиз как называлась фича..."

Отправлено Dragon_Stas , 11-Май-04 21:53 
Помню где-то на OpenNet читал про то, что под FreeBSD можно на файл (папку) выставить разрешения, которые даже пользователь root не сможет сменить в нормальном режиме работы системы.
Для того чтобы  сменить разрешения на таком файле, root-у надо перейти в однопользовательский режим работы системы, только в этом случае он сможет сменить разрешения на таком файле.

Подскажите как эта фича называется ? по каким словам искать мне в поиске ?


Содержание

Сообщения в этом обсуждении
"FreeBSD, безопасность! напомните плиз как называлась фича..."
Отправлено dilmah , 11-Май-04 22:13 
>Помню где-то на OpenNet читал про то, что под FreeBSD можно на
>файл (папку) выставить разрешения, которые даже пользователь root не сможет сменить
>в нормальном режиме работы системы.
>Для того чтобы  сменить разрешения на таком файле, root-у надо перейти
>в однопользовательский режим работы системы, только в этом случае он сможет
>сменить разрешения на таком файле.
>
>Подскажите как эта фича называется ? по каким словам искать мне в
>поиске ?

chflags


"FreeBSD, безопасность! напомните плиз как называлась фича..."
Отправлено Dragon_Stas , 11-Май-04 22:46 
>>Помню где-то на OpenNet читал про то, что под FreeBSD можно на
>>файл (папку) выставить разрешения, которые даже пользователь root не сможет сменить
>>в нормальном режиме работы системы.
>>Для того чтобы  сменить разрешения на таком файле, root-у надо перейти
>>в однопользовательский режим работы системы, только в этом случае он сможет
>>сменить разрешения на таком файле.
>>
>>Подскажите как эта фича называется ? по каким словам искать мне в
>>поиске ?
>
>chflags

Спасибо !
Только что-то я не фига не понял :(

Может подскажите как с помошью chflags или чего нибудь другого запретить пользователю root запись и создание файлов в определенном каталоге (для обычного режима работы FreeBSD)?
Или такое сделать не риально ?



"FreeBSD, безопасность! напомните плиз как называлась фича..."
Отправлено Simps , 12-Май-04 08:50 
>>>Помню где-то на OpenNet читал про то, что под FreeBSD можно на
>>>файл (папку) выставить разрешения, которые даже пользователь root не сможет сменить
>>>в нормальном режиме работы системы.
>>>Для того чтобы  сменить разрешения на таком файле, root-у надо перейти
>>>в однопользовательский режим работы системы, только в этом случае он сможет
>>>сменить разрешения на таком файле.
>>>
>>>Подскажите как эта фича называется ? по каким словам искать мне в
>>>поиске ?
>>
>>chflags
>
>Спасибо !
>Только что-то я не фига не понял :(
>
>Может подскажите как с помошью chflags или чего нибудь другого запретить пользователю
>root запись и создание файлов в определенном каталоге (для обычного режима
>работы FreeBSD)?
>Или такое сделать не риально ?
Запомни root это мега юзер ... Вот даже глянуть в man
     The flags are specified as an octal number or a comma separated list of
     keywords.  The following keywords are currently defined:

           arch    set the archived flag (super-user only)
           opaque  set the opaque flag (owner or super-user only)
           nodump  set the nodump flag (owner or super-user only)
           sappnd  set the system append-only flag (super-user only)
           schg    set the system immutable flag (super-user only)
           sunlnk  set the system undeletable flag (super-user only)
           uappnd  set the user append-only flag (owner or super-user only)
           uchg    set the user immutable flag (owner or super-user only)
           uunlnk  set the user undeletable flag (owner or super-user only)
           archived, sappend, schange, simmutable, uappend, uchange,
                   uimmutable, sunlink, uunlink

Везде этот папка светится ... Так что если хочешь ограничить root'а забей ...


"FreeBSD, безопасность! напомните плиз как называлась фича..."
Отправлено dilmah , 12-Май-04 08:50 
> Может подскажите как с помошью chflags или чего нибудь другого запретить пользователю
> root запись и создание файлов в определенном каталоге (для обычного режима работы
> FreeBSD)?
> Или такое сделать не риально ?

в обычном режиме это нереально.  Нужно поднять security level (man init).
Тогда по идее если на директории сделана chflags schg /dir
то с ней ничего не сделаешь.

Второй вариант -- сделать эту директорию на файловой системе
которая смонтирована read-only
Если security-level > 1 то это не изменить.

Так в NetBSD.  Во Free должно быть похоже.


"FreeBSD, безопасность! напомните плиз как называлась фича..."
Отправлено Dragon_Stas , 12-Май-04 13:12 
Всем спасибо разобрался :)