The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как запретить пользователю выполнять почти все"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как запретить пользователю выполнять почти все"  
Сообщение от fa email(??) on 10-Ноя-06, 22:05 
Народ, подскажите, нет ли способа ограничить пользователя в количестве доступных команд. Вот хочу, например, ограничить кого только коммандой less. Как это сделать?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Как запретить пользователю выполнять почти все"  
Сообщение от lavr email on 10-Ноя-06, 22:18 
>Народ, подскажите, нет ли способа ограничить пользователя в количестве доступных команд. Вот
>хочу, например, ограничить кого только коммандой less. Как это сделать?

есть и самый простой -> заменить ему интерактивный shell на /usr/sbin/nologin.
зачем нужен интерактивный account в котором ничего нельзя сделать?!
и зачем ДАВАТЬ такой account?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как запретить пользователю выполнять почти все"  
Сообщение от fa email(??) on 11-Ноя-06, 00:31 
>есть и самый простой -> заменить ему интерактивный shell на /usr/sbin/nologin.
>зачем нужен интерактивный account в котором ничего нельзя сделать?!
>и зачем ДАВАТЬ такой account?

:-) Ну не совсем так чтоб уже ничего. Человек должен выполнять время от времени пару програмок, сливать себе результаты да телнетиться иногда к некоторому железу. Человек незнакомый. Лазить по машине, отсылать почту, досить мирное интернет-сообщество ему незачем. Вот и хочу ограничить. И, к тому же, видел в инете пару бесплатных шелл-аккаунтов, в которых это есть (платите баблосы - есть команда, не платите - нет). Вот и ищу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как запретить пользователю выполнять почти все"  
Сообщение от mg (??) on 11-Ноя-06, 04:03 
>>есть и самый простой -> заменить ему интерактивный shell на /usr/sbin/nologin.
>>зачем нужен интерактивный account в котором ничего нельзя сделать?!
>>и зачем ДАВАТЬ такой account?
>
>:-) Ну не совсем так чтоб уже ничего. Человек должен выполнять время
>от времени пару програмок, сливать себе результаты да телнетиться иногда к
>некоторому железу. Человек незнакомый. Лазить по машине, отсылать почту, досить мирное
>интернет-сообщество ему незачем. Вот и хочу ограничить. И, к тому же,
>видел в инете пару бесплатных шелл-аккаунтов, в которых это есть (платите
>баблосы - есть команда, не платите - нет). Вот и ищу.
>


Ну не знаю, как такое сделать "культурно", но можно заняться самопалом, типа создаём скрипт который запускается при входе юзверя в систему вместо шела. Затем в скрипте просто фильтруем команды, нужные запускаем, недопустимые - пишем аксесс денай.
Но это самопал, как делать это культурным способом - не знаю...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как запретить пользователю выполнять почти все"  
Сообщение от andrey (??) on 11-Ноя-06, 15:00 
>>Народ, подскажите, нет ли способа ограничить пользователя в количестве доступных команд. Вот
>>хочу, например, ограничить кого только коммандой less. Как это сделать?
>
>есть и самый простой -> заменить ему интерактивный shell на /usr/sbin/nologin.
>зачем нужен интерактивный account в котором ничего нельзя сделать?!
>и зачем ДАВАТЬ такой account?

юзай chroot, built-in команды не будут выполняться, все что ему в хомяк положишь, тем и можно пользоваться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как запретить пользователю выполнять почти все"  
Сообщение от fa email(??) on 13-Ноя-06, 20:04 
Вот нашел сравнительно простой способ. shell - rbash. PATH=''. Все програмки, которые могут быть запущены пользователем, лежат в его home. Есть в этом варианте какие-нибудь дыры?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как запретить пользователю выполнять почти все"  
Сообщение от Skif (ok) on 14-Ноя-06, 03:28 
>Вот нашел сравнительно простой способ. shell - rbash. PATH=''. Все програмки, которые
>могут быть запущены пользователем, лежат в его home. Есть в этом
>варианте какие-нибудь дыры?

Дыры есть везде и всегда при наличии шела на машину. Все будет зависить от того, что дашь ты ему на старте из доступных команд. дай ему хотя бы cp или cat и уже определенный ряд проблем поиметь можно. Так что оптимально загнать его в chroot, тогда он меньше всего набедокурить сможет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру