URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID15
Нить номер: 1804
[ Назад ]

Исходное сообщение
"Xorg и root"

Отправлено exn , 01-Мрт-08 02:15 
Привет!

Скажите пожалуста, как можно запретить руту пользовать xorg ?
Есть fedora, на ней стоит selinux который частично настроен.
  Так уж сложилось что товарищи без мозгов имеют права рута в этой системе, и начинают куралесить в иксах всякие фаерволы и много других важных вещей.
Убеждать работать от пользователя нет ни сил не желания, на данный момент просто сняты
права с X Xorg.. но хотелось бы чтобы все выглядело как можно красивее. тоесть запускались иксы только от обычных пользователей.. а в идеале конечно чтоб была группировка только которая могла юзать иксы. Хотя не важно, главное чтоб рут не мог запускать иксы ! как ???


Содержание

Сообщения в этом обсуждении
"Xorg и root"
Отправлено angra , 01-Мрт-08 12:13 
Первое, оно же главное, если у человека есть рутовые права, то он легко вернет все назад.

Через что запускаем иксы? Если через startx , то создаем .xinitrc или .xserverrc в /root, в которых либо указываем пустой клиент, либо неправильный сервер. Если же через xdm/kdm/gdm, то нужно читать по ним доку, хотя вариант с .xinitrc тоже может сработать


"Xorg и root"
Отправлено exn , 01-Мрт-08 16:47 
>Первое, оно же главное, если у человека есть рутовые права, то он
>легко вернет все назад.
>
>Через что запускаем иксы? Если через startx , то создаем .xinitrc или
>.xserverrc в /root, в которых либо указываем пустой клиент, либо неправильный
>сервер. Если же через xdm/kdm/gdm, то нужно читать по ним доку,
>хотя вариант с .xinitrc тоже может сработать

Похоже что это единственный вариант


"Xorg и root"
Отправлено Андрей , 05-Мрт-08 09:39 
>[оверквотинг удален]
>  Так уж сложилось что товарищи без мозгов имеют права рута
>в этой системе, и начинают куралесить в иксах всякие фаерволы и
>много других важных вещей.
> Убеждать работать от пользователя нет ни сил не желания, на данный
>момент просто сняты
>права с X Xorg.. но хотелось бы чтобы все выглядело как можно
>красивее. тоесть запускались иксы только от обычных пользователей.. а в идеале
>конечно чтоб была группировка только которая могла юзать иксы. Хотя не
>важно, главное чтоб рут не мог запускать иксы ! как ???
>

Есть немного проще вариант, но как написал angra, если имеются права рута, то все можно вернуть назад... :) остается надеется, что "товарищи без мозгов" просто не догадаются, что нужно делать...  :)
Запускаете Х-ы, заходите в них обычным пользователем, ну или пока root'ом, "нажимаете кнопку Пуск" :) в разделе система, есть пункт "Экран входа в систему". Там можно указать минимальный UID и разрешить вход администратору или нет...


"Xorg и root"
Отправлено angra , 06-Мрт-08 14:32 
То, что вы описываете это настройка kdm или gdm через графический интерфейс :)


"Xorg и root"
Отправлено Андрей , 06-Мрт-08 16:07 
>То, что вы описываете это настройка kdm или gdm через графический интерфейс
>:)

Я вобщем-то понял так, что человеку необходимо чтобы Х-ы были запущены, но чтобы в них не логинились "некоторые товарищи" с правами рута и не творили там беду. И как вариант, предложил ограничить вход, пусть и с помощью Desktop Manager'ов...  конечно, может я чего-то недопонял...  :)
Хотя эти "товарищи" могут из рутовой консоли Х-ы стартануть (startx), но думаю, что они до этого не догадаются...  :) и если Х-ы уже будут запущены, то еще одни они уже так просто не запустят...
А если вобще графика не нужyа, то просто взять, да и снести Х-ы...  :-D


"Xorg и root"
Отправлено exn , 06-Мрт-08 18:56 
>[оверквотинг удален]
>чтобы в них не логинились "некоторые товарищи" с правами рута и
>не творили там беду. И как вариант, предложил ограничить вход, пусть
>и с помощью Desktop Manager'ов...  конечно, может я чего-то недопонял...
> :)
>Хотя эти "товарищи" могут из рутовой консоли Х-ы стартануть (startx), но думаю,
>что они до этого не догадаются...  :) и если Х-ы
>уже будут запущены, то еще одни они уже так просто не
>запустят...
>А если вобще графика не нужyа, то просто взять, да и снести
>Х-ы...  :-D

Я не знаю где эта  машина и что с ней, а товарищи про startx знают отлично, и считают себя мегаадминами, не суть, главное чтоб рутом иксы не стартовать. Иксам права рута нужны всеравно, но чтоб рут не мог их пустить тупо startx xinit xorg gdm kdm и пр пр.


"Xorg и root"
Отправлено exn , 06-Мрт-08 18:57 
ограничить их в правах сменой пароля не могу, жалко ухи.



"Xorg и root"
Отправлено Аноним , 30-Май-08 22:47 
>ограничить их в правах сменой пароля не могу, жалко ухи.

Ну тогда зачем их ограничивать в других правах... Вы попали в какое-то дурацкое положение, вам не позавидуешь, конечно можно применить какие-нибудь ухищрения, но человек у которого больше одной извилины обладая правами рута способен вернуть всё назад.


"Xorg и root"
Отправлено konst , 01-Июн-08 03:02 
>Я не знаю где эта  машина и что с ней, а
>товарищи про startx знают отлично, и считают себя мегаадминами, не суть,
>главное чтоб рутом иксы не стартовать. Иксам права рута нужны всеравно,
>но чтоб рут не мог их пустить тупо startx xinit xorg
>gdm kdm и пр пр.

Если эти товарищи только считают себя "мегаадминами", то поможет такой ход.
Ищите все файлы запускающие "X". Меняете их на <файл>.000. А вместо них кладете скрипт:
#!/bin/sh
if [ "$USER" == "root" ]; then
echo "Megaadmin is free...";
exit
fi

<файл>.000
##################


"Xorg и root"
Отправлено warcraft.stranger , 01-Июл-08 00:37 
>[оверквотинг удален]
>Если эти товарищи только считают себя "мегаадминами", то поможет такой ход.
>Ищите все файлы запускающие "X". Меняете их на <файл>.000. А вместо них кладете скрипт:
>#!/bin/sh
>if [ "$USER" == "root" ]; then
> echo "Megaadmin is free...";
> exit
>fi
>
><файл>.000
>##################

Gm... Esli ya ne oshibayus', to X imeet suidnyj bit, dazhe esli zapustit' iz-pod lyubogo usera, on vse ravno budet 'root'. Poprav'te menya, esli oshibayus'...:(


"Xorg и root"
Отправлено konst , 01-Июл-08 01:36 
>[оверквотинг удален]
>> echo "Megaadmin is free...";
>> exit
>>fi
>>
>><файл>.000
>>##################
>
>Gm... Esli ya ne oshibayus', to X imeet suidnyj bit, dazhe esli
>zapustit' iz-pod lyubogo usera, on vse ravno budet 'root'. Poprav'te menya,
>esli oshibayus'...:(

В данном случае - не suid-ть имеет значение. Bash-скрипт запускается из-под реального $USER.


"Xorg и root"
Отправлено exn , 01-Июл-08 19:44 
ох подняли тему :D :D

На сколько помню решил тупо пересборкой иксов с небольшой модификацией в плане проверки на id'ы и там же жестко вкомпилена группа котороя не будет вознаграждена преждевременным exit'om. я уже забыл об этом чуде :)


"Xorg и root"
Отправлено exn , 01-Июл-08 19:46 
зы. Ну фигли же, они великие чердакпровайдеры, им нужон только рут и ничего кроме рута.. не всех война убила.

забыли. пусть уходит внекуда эта тема.