Привет!Скажите пожалуста, как можно запретить руту пользовать xorg ?
Есть fedora, на ней стоит selinux который частично настроен.
Так уж сложилось что товарищи без мозгов имеют права рута в этой системе, и начинают куралесить в иксах всякие фаерволы и много других важных вещей.
Убеждать работать от пользователя нет ни сил не желания, на данный момент просто сняты
права с X Xorg.. но хотелось бы чтобы все выглядело как можно красивее. тоесть запускались иксы только от обычных пользователей.. а в идеале конечно чтоб была группировка только которая могла юзать иксы. Хотя не важно, главное чтоб рут не мог запускать иксы ! как ???
Первое, оно же главное, если у человека есть рутовые права, то он легко вернет все назад.Через что запускаем иксы? Если через startx , то создаем .xinitrc или .xserverrc в /root, в которых либо указываем пустой клиент, либо неправильный сервер. Если же через xdm/kdm/gdm, то нужно читать по ним доку, хотя вариант с .xinitrc тоже может сработать
>Первое, оно же главное, если у человека есть рутовые права, то он
>легко вернет все назад.
>
>Через что запускаем иксы? Если через startx , то создаем .xinitrc или
>.xserverrc в /root, в которых либо указываем пустой клиент, либо неправильный
>сервер. Если же через xdm/kdm/gdm, то нужно читать по ним доку,
>хотя вариант с .xinitrc тоже может сработатьПохоже что это единственный вариант
>[оверквотинг удален]
> Так уж сложилось что товарищи без мозгов имеют права рута
>в этой системе, и начинают куралесить в иксах всякие фаерволы и
>много других важных вещей.
> Убеждать работать от пользователя нет ни сил не желания, на данный
>момент просто сняты
>права с X Xorg.. но хотелось бы чтобы все выглядело как можно
>красивее. тоесть запускались иксы только от обычных пользователей.. а в идеале
>конечно чтоб была группировка только которая могла юзать иксы. Хотя не
>важно, главное чтоб рут не мог запускать иксы ! как ???
>Есть немного проще вариант, но как написал angra, если имеются права рута, то все можно вернуть назад... :) остается надеется, что "товарищи без мозгов" просто не догадаются, что нужно делать... :)
Запускаете Х-ы, заходите в них обычным пользователем, ну или пока root'ом, "нажимаете кнопку Пуск" :) в разделе система, есть пункт "Экран входа в систему". Там можно указать минимальный UID и разрешить вход администратору или нет...
То, что вы описываете это настройка kdm или gdm через графический интерфейс :)
>То, что вы описываете это настройка kdm или gdm через графический интерфейс
>:)Я вобщем-то понял так, что человеку необходимо чтобы Х-ы были запущены, но чтобы в них не логинились "некоторые товарищи" с правами рута и не творили там беду. И как вариант, предложил ограничить вход, пусть и с помощью Desktop Manager'ов... конечно, может я чего-то недопонял... :)
Хотя эти "товарищи" могут из рутовой консоли Х-ы стартануть (startx), но думаю, что они до этого не догадаются... :) и если Х-ы уже будут запущены, то еще одни они уже так просто не запустят...
А если вобще графика не нужyа, то просто взять, да и снести Х-ы... :-D
>[оверквотинг удален]
>чтобы в них не логинились "некоторые товарищи" с правами рута и
>не творили там беду. И как вариант, предложил ограничить вход, пусть
>и с помощью Desktop Manager'ов... конечно, может я чего-то недопонял...
> :)
>Хотя эти "товарищи" могут из рутовой консоли Х-ы стартануть (startx), но думаю,
>что они до этого не догадаются... :) и если Х-ы
>уже будут запущены, то еще одни они уже так просто не
>запустят...
>А если вобще графика не нужyа, то просто взять, да и снести
>Х-ы... :-DЯ не знаю где эта машина и что с ней, а товарищи про startx знают отлично, и считают себя мегаадминами, не суть, главное чтоб рутом иксы не стартовать. Иксам права рута нужны всеравно, но чтоб рут не мог их пустить тупо startx xinit xorg gdm kdm и пр пр.
ограничить их в правах сменой пароля не могу, жалко ухи.
>ограничить их в правах сменой пароля не могу, жалко ухи.Ну тогда зачем их ограничивать в других правах... Вы попали в какое-то дурацкое положение, вам не позавидуешь, конечно можно применить какие-нибудь ухищрения, но человек у которого больше одной извилины обладая правами рута способен вернуть всё назад.
>Я не знаю где эта машина и что с ней, а
>товарищи про startx знают отлично, и считают себя мегаадминами, не суть,
>главное чтоб рутом иксы не стартовать. Иксам права рута нужны всеравно,
>но чтоб рут не мог их пустить тупо startx xinit xorg
>gdm kdm и пр пр.Если эти товарищи только считают себя "мегаадминами", то поможет такой ход.
Ищите все файлы запускающие "X". Меняете их на <файл>.000. А вместо них кладете скрипт:
#!/bin/sh
if [ "$USER" == "root" ]; then
echo "Megaadmin is free...";
exit
fi<файл>.000
##################
>[оверквотинг удален]
>Если эти товарищи только считают себя "мегаадминами", то поможет такой ход.
>Ищите все файлы запускающие "X". Меняете их на <файл>.000. А вместо них кладете скрипт:
>#!/bin/sh
>if [ "$USER" == "root" ]; then
> echo "Megaadmin is free...";
> exit
>fi
>
><файл>.000
>##################Gm... Esli ya ne oshibayus', to X imeet suidnyj bit, dazhe esli zapustit' iz-pod lyubogo usera, on vse ravno budet 'root'. Poprav'te menya, esli oshibayus'...:(
>[оверквотинг удален]
>> echo "Megaadmin is free...";
>> exit
>>fi
>>
>><файл>.000
>>##################
>
>Gm... Esli ya ne oshibayus', to X imeet suidnyj bit, dazhe esli
>zapustit' iz-pod lyubogo usera, on vse ravno budet 'root'. Poprav'te menya,
>esli oshibayus'...:(В данном случае - не suid-ть имеет значение. Bash-скрипт запускается из-под реального $USER.
ох подняли тему :D :DНа сколько помню решил тупо пересборкой иксов с небольшой модификацией в плане проверки на id'ы и там же жестко вкомпилена группа котороя не будет вознаграждена преждевременным exit'om. я уже забыл об этом чуде :)
зы. Ну фигли же, они великие чердакпровайдеры, им нужон только рут и ничего кроме рута.. не всех война убила.
забыли. пусть уходит внекуда эта тема.