[Comm] Разрешить запуск только нескольких программ

[Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

День добрый!

Есть такая задача. Имеется сервер, на котором установлены несколько
программ, требующих для своей работы X-сервера. Запускать их будут
удаленно с клиентских машин. На них в основном стоит WinXP и Xmin.
Предполагается еще доступ по ftp к серверу, не анонимный. Вопрос в
том, как сделать так, чтобы пользователи могли запускать только
требуемый набор приложений? Мне не хочется давать им доступ и шеллу.
Т.е. чтобы при удаленном доступе запускались только определенные
программы и ничего другого запустить было бы нельзя. Возможно ли такое
устроить стандартными средствами?

Всего доброго,
Денис.

-- 
Всего доброго,

Денис.

Re: [Comm] Разрешить запуск только нескольких программ

[Dmitriy M. Maslennikov]

24 декабря 2008 г. 19:08 пользователь Denis G. Samsonenko
<d.g.samsonenko@gmail.com> написал:
> Есть такая задача. Имеется сервер, на котором установлены несколько
> программ, требующих для своей работы X-сервера. Запускать их будут
> удаленно с клиентских машин. На них в основном стоит WinXP и Xmin.
> Предполагается еще доступ по ftp к серверу, не анонимный. Вопрос в
> том, как сделать так, чтобы пользователи могли запускать только
> требуемый набор приложений? Мне не хочется давать им доступ и шеллу.
> Т.е. чтобы при удаленном доступе запускались только определенные
> программы и ничего другого запустить было бы нельзя. Возможно ли такое
> устроить стандартными средствами?
Какой уровень безопасности требуется? Вам достаточнотолько затруднить
запуск "лишних" программ или запретить их строго?

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

Привет!

24 декабря 2008 г. 22:38 Dmitriy M. Maslennikov написал:
> Какой уровень безопасности требуется? Вам достаточнотолько затруднить
> запуск "лишних" программ или запретить их строго?

Понимаете, в чём суть. У нас есть небольшой набор программ, которыми
будут пользоваться многие люди в пределах локальной сети. Сервер
доступен только внутри локальной сети.

Пользователи в основном сидят под виндой, при этом они самые разные,
от продвинутых до полных чайников.

Для каждого пользователя будет заведена учётная запись на сервере. Мне
бы не хотелось давать им доступ по ssh в оболочку или позволять им
грузиться прямо в рабочий стол.

В большинстве случаев пароли к учётным записям будут записаны на
бумажках и валяться вблизи клавиатуры, или просто сохранены в
настройках запускающих прог. А компьютеры у нас многопользовательские
в том плане, что под одной учётной записью (как правило с
административными правами :) работает куча народу. Тем более что
предполагается открыть доступ пользователям по ftp до их домашних
каталогов.

Потому в идеале я вижу это как ярлык, лежащий на рабочем столе
пользовательского десктопа, кликнув на который происходил бы коннект к
серверу и запуск нужной проги. Так будет проще и пользователям и мне.

Я вот тут что подумал. На сколько я понимаю, можно по XDMPC попасть в
xdm сервера, где залогиниться и попасть в свой рабочий стол. Можно ли
устроить, чтобы таким макаром запускался не рабочий стол, а только
нужная прога?

Например пишется небольшая программка с формой из нескольких кнопок
для запуска нужных приложений. Далее как-то делается, чтобы при
коннекте с серверу запускалась именно эта прога, а при выходе из неё
коннект бы разрывался.

По поводу безопасности. Я не думаю, что у нас в локалке есть злобные
хакеры. Так что мне это надо не столько для строгого запрещения
запуска чего бы то ни было кроме пары определённых прог, сколько для
удобства пользования данными прогами пользователчми, совершенно не
разбирающихся в юниксах и которым доступ к оболочке совершенно ни к
чему.

Просто они запустят нужную прогу, поработают, и если в ходе работы
были созданы какие-то файлы, то заберут их по ftp из своей домашней
директории.

Но поскольку пользователи будут в основном совсем не знакомы с
юниксами и принципами работы в них, то на всякий случай и хочется
предоставить им наиболее простой для них доступ для нужных им прог и
ограничить доступ ко всем остальным.

-- 
Всего доброго,

Денис.

Re: [Comm] Разрешить запуск только нескольких программ

[Dmitriy M. Maslennikov]

24 декабря 2008 г. 20:41 пользователь Denis G. Samsonenko
<d.g.samsonenko@gmail.com> написал:
> Понимаете, в чём суть. <...>
Можно. Это несложно.

Как пользователи подключаются к серверу?

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Разрешить запуск только нескольких программ

[Yura Kalinichenko]

Denis G. Samsonenko пишет:
> Потому в идеале я вижу это как ярлык, лежащий на рабочем столе
> пользовательского десктопа, кликнув на который происходил бы коннект к
> серверу и запуск нужной проги. Так будет проще и пользователям и мне.
>   
В случае линуксового десктопа это делается наклейкой ярлыка на команду

ssh -Y удаленный_сервер нужная_прога

Как в случае виндового - не знаю, наверное, что-то подобное также можно 
сделать
> Я вот тут что подумал. На сколько я понимаю, можно по XDMPC попасть в
> xdm сервера, где залогиниться и попасть в свой рабочий стол. Можно ли
> устроить, чтобы таким макаром запускался не рабочий стол, а только
> нужная прога?
>   
Можно. Например так:

echo "exec нужная_прога" > $HOME/.xsession
chmod 0500 $HOME/.xsession

Или брать напильник и обтачивать свой WM до минимального состояния. 
Несколько сложнее, но зато можно оставить некоторые вкусности, которые 
этот WM предоставляет. Обточке гораздо легче поддаются минималистические 
WM, я рекомендую IceWM.

-- 
SY, 
   Yura Kalinichenko

Re: [Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

Привет!

25 декабря 2008 г. 0:04 Dmitriy M. Maslennikov написал:
>> Понимаете, в чём суть. <...>
> Можно. Это несложно.
>
> Как пользователи подключаются к серверу?

Как скажете, так и будут подключаться. :)

Если серьёзно, то я пока вижу 3 варианта: через ssh с X11 forwarding
или через XDMCP с использованием Xming, или через NX.

Какой способ выбрать, чтобы удовлетворить все описанные требования я
пока не знаю.

-- 
Всего доброго,

Денис.

Re: [Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

Привет!

25 декабря 2008 г. 3:00 Yura Kalinichenko написал:
>> Потому в идеале я вижу это как ярлык, лежащий на рабочем столе
>> пользовательского десктопа, кликнув на который происходил бы коннект к
>> серверу и запуск нужной проги. Так будет проще и пользователям и мне.
>
> В случае линуксового десктопа это делается наклейкой ярлыка на команду
>
> ssh -Y удаленный_сервер нужная_прога

Вопрос в том, как избежать попадания в оболочку при вызове просто "ssh
удаленный_сервер"?

> Как в случае виндового - не знаю, наверное, что-то подобное также можно
> сделать

XLaunch от Xming.

>> Я вот тут что подумал. На сколько я понимаю, можно по XDMPC попасть в
>> xdm сервера, где залогиниться и попасть в свой рабочий стол. Можно ли
>> устроить, чтобы таким макаром запускался не рабочий стол, а только
>> нужная прога?
>
> Можно. Например так:
>
> echo "exec нужная_прога" > $HOME/.xsession
> chmod 0500 $HOME/.xsession

Надо будет попробовать.

Ещё такой вопрос, а через ftp пользователь права поменять на
$HOME/.xsession сможет?

И вообще, можно ли ограничить пользователя его домашней директорией,
когда он заходит по ftp?

$ rpm -qa |grep ftp
vsftpd-2.0.6-alt1
alterator-vsftpd-0.5-alt2.M41.3
anonftp-3.2-alt1

-- 
Всего доброго,

Денис.

Re: [Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

Привет!

25 декабря 2008 г. 3:00 Yura Kalinichenko написал:
>> Я вот тут что подумал. На сколько я понимаю, можно по XDMPC попасть в
>> xdm сервера, где залогиниться и попасть в свой рабочий стол. Можно ли
>> устроить, чтобы таким макаром запускался не рабочий стол, а только
>> нужная прога?
>
> Можно. Например так:
>
> echo "exec нужная_прога" > $HOME/.xsession
> chmod 0500 $HOME/.xsession

Попробовал. Для теста прописал в $HOME/.xsession следующее:

#!/bin/sh -l
exec xterm

При подключении к серверу по XDMPC получаю kdm, залогинившись в
котором попадаю в KDE, вместо ожидавшегося xterm.

-- 
Всего доброго,

Денис.

Re: [Comm] Разрешить запуск только нескольких программ

[Dmitriy M. Maslennikov]

25 декабря 2008 г. 6:34 пользователь Denis G. Samsonenko
<d.g.samsonenko@gmail.com> написал:
> Привет!
>
> 25 декабря 2008 г. 3:00 Yura Kalinichenko написал:
>>> Я вот тут что подумал. На сколько я понимаю, можно по XDMPC попасть в
>>> xdm сервера, где залогиниться и попасть в свой рабочий стол. Можно ли
>>> устроить, чтобы таким макаром запускался не рабочий стол, а только
>>> нужная прога?
>>
>> Можно. Например так:
>>
>> echo "exec нужная_прога" > $HOME/.xsession
>> chmod 0500 $HOME/.xsession
>
> Попробовал. Для теста прописал в $HOME/.xsession следующее:
>
> #!/bin/sh -l
> exec xterm
>
> При подключении к серверу по XDMPC получаю kdm, залогинившись в
> котором попадаю в KDE, вместо ожидавшегося xterm.
У нас на работе как раз озадачились этой проблемой и сделали патч в
одну строку, который организует то, что вам нужно. Патч пропихивается
в сизиф. Ссылку на багу и git пришлю сегодня позже (как увижу
человека, занимающегося этим)

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Разрешить запуск только нескольких программ

[Yura Kalinichenko]

Denis G. Samsonenko пишет:
> Привет!
>
> 25 декабря 2008 г. 3:00 Yura Kalinichenko написал:
>   
>>> Я вот тут что подумал. На сколько я понимаю, можно по XDMPC попасть в
>>> xdm сервера, где залогиниться и попасть в свой рабочий стол. Можно ли
>>> устроить, чтобы таким макаром запускался не рабочий стол, а только
>>> нужная прога?
>>>       
>> Можно. Например так:
>>
>> echo "exec нужная_прога" > $HOME/.xsession
>> chmod 0500 $HOME/.xsession
>>     
>
> Попробовал. Для теста прописал в $HOME/.xsession следующее:
>
> #!/bin/sh -l
> exec xterm
>
> При подключении к серверу по XDMPC получаю kdm, залогинившись в
> котором попадаю в KDE, вместо ожидавшегося xterm.
>
>   
Возможно kdm (как все K*) наплевал на стандарты. Читайте документацию на 
него или установите xdm.

-- 
SY, 
   Yura Kalinichenko

Re: [Comm] Разрешить запуск только нескольких программ

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 267 bytes --]

On Thu, 25 Dec 2008 09:12:25 +0600
Denis G. Samsonenko wrote:

> И вообще, можно ли ограничить пользователя его домашней директорией,
> когда он заходит по ftp?

chroot_local_user = yes

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

Привет!

25 декабря 2008 г. 13:28 Yura Kalinichenko написал:
>> Попробовал. Для теста прописал в $HOME/.xsession следующее:
>>
>> #!/bin/sh -l
>> exec xterm
>>
>> При подключении к серверу по XDMPC получаю kdm, залогинившись в
>> котором попадаю в KDE, вместо ожидавшегося xterm.
>
> Возможно kdm (как все K*) наплевал на стандарты. Читайте документацию на
> него или установите xdm.

Поставил xdm и снёс kdm. Теперь отрабатывает ожидаемо.

Не подскажете какой простой WM, т.к. без него у запускаемых прог
невозможно перетаскивать и менять размеры окон.  Нашёл twm и ctwm,
как-то непривычно смотрятся.

Лучше всего, если будет какой-нибудь WM без меню запуска приложений и
панелька с несколькими значками для запуска нужных прог, или чтобы
пиктограммки на рабочем столе для того же самого.

Можете порекомендовать какой-нибудь подходящий набор?

-- 
Всего доброго,

Денис.

Re: [Comm] Разрешить запуск только нескольких программ

[Dmitriy M. Maslennikov]

25 декабря 2008 г. 14:36 пользователь Denis G. Samsonenko
<d.g.samsonenko@gmail.com> написал:
> Лучше всего, если будет какой-нибудь WM без меню запуска приложений и
> панелька с несколькими значками для запуска нужных прог, или чтобы
> пиктограммки на рабочем столе для того же самого.
>
> Можете порекомендовать какой-нибудь подходящий набор?
Посмотрите на fluxbox. У него приложения можно запускать из меню,
которое появляется по правому клику на рабочем столе. Меню
настраивается в простом и понятном текстовом конфигурационном файле.
Как впрочем и он сам весь настраивается достаточно гибко из
конфигурационных файлов (есть графические утилиты, но вам как
администратору, видимо будет удобно у пользователя их отключить, а
меню и сам wm настоить просто создав необходимый файл)

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Разрешить запуск только нескольких программ

[Yura Kalinichenko]

Denis G. Samsonenko пишет:
> Привет!
>
> 25 декабря 2008 г. 13:28 Yura Kalinichenko написал:
>   
>>> Попробовал. Для теста прописал в $HOME/.xsession следующее:
>>>
>>> #!/bin/sh -l
>>> exec xterm
>>>
>>> При подключении к серверу по XDMPC получаю kdm, залогинившись в
>>> котором попадаю в KDE, вместо ожидавшегося xterm.
>>>       
>> Возможно kdm (как все K*) наплевал на стандарты. Читайте документацию на
>> него или установите xdm.
>>     
>
> Поставил xdm и снёс kdm. Теперь отрабатывает ожидаемо.
>
> Не подскажете какой простой WM, т.к. без него у запускаемых прог
> невозможно перетаскивать и менять размеры окон.  Нашёл twm и ctwm,
> как-то непривычно смотрятся.
>
> Лучше всего, если будет какой-нибудь WM без меню запуска приложений и
> панелька с несколькими значками для запуска нужных прог, или чтобы
> пиктограммки на рабочем столе для того же самого.
>
> Можете порекомендовать какой-нибудь подходящий набор?
>   
Мой выбор - IceWM, я уже говорил. В .xsession _перед_ exec ставите вызов 
icewm &
если нужно чтобы сеанс автоматически схлопывался после завершения 
нужной_проги, или в exec вместо нужной_проги;
в $HOME/.icewm из /etc/X11/icewm копируете preferences и toolbar, 
редактируете их по вкусу (предварительно почитав 
/usr/share/doc/icewm-*/*.html или перевод), защищаете их от изменения 
пользователем - и вуаля.

-- 
SY, 
   Yura Kalinichenko

Re: [Comm] Разрешить запуск только нескольких программ

[Dmitriy M. Maslennikov]

25 декабря 2008 г. 22:34 пользователь Yura Kalinichenko
<yuk@kalina.in.ua> написал:
> в $HOME/.icewm из /etc/X11/icewm копируете preferences и toolbar,
> редактируете их по вкусу (предварительно почитав
> /usr/share/doc/icewm-*/*.html или перевод), защищаете их от изменения
> пользователем - и вуаля.
Угу, а пользователь их удаляет, создает новые - и вуаля...

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Разрешить запуск только нескольких программ

[Yura Kalinichenko]

Dmitriy M. Maslennikov пишет:
> 25 декабря 2008 г. 22:34 пользователь Yura Kalinichenko
> <yuk@kalina.in.ua> написал:
>   
>> в $HOME/.icewm из /etc/X11/icewm копируете preferences и toolbar,
>> редактируете их по вкусу (предварительно почитав
>> /usr/share/doc/icewm-*/*.html или перевод), защищаете их от изменения
>> пользователем - и вуаля.
>>     
> Угу, а пользователь их удаляет, создает новые - и вуаля...
>
>   
man chmod
man chown

-- 
SY, 
   Yura Kalinichenko

Re: [Comm] Разрешить запуск только нескольких программ

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 379 bytes --]

Здравствуйте Dmitriy M. Maslennikov
  В сообщении от 25 декабря 2008 Dmitriy M. Maslennikov 
написал(a):
 > Угу, а пользователь их удаляет, создает новые - и вуаля...

а права доступа на что.

-- 
  А ещё говорят так  (fortune):
 
You are confused; but this is your normal state. 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Разрешить запуск только нескольких программ

[Eugene Prokopiev]

>  Не подскажете какой простой WM, т.к. без него у запускаемых прог
>  невозможно перетаскивать и менять размеры окон.  Нашёл twm и ctwm,
>  как-то непривычно смотрятся.
>
>  Лучше всего, если будет какой-нибудь WM без меню запуска приложений и
>  панелька с несколькими значками для запуска нужных прог, или чтобы
>  пиктограммки на рабочем столе для того же самого.
>
>  Можете порекомендовать какой-нибудь подходящий набор?

openbox - это только WM. У него есть контекстное меню запуска
приложений, но его легко выключить в конфиге (просто закомментировать
реакцию на нажатие мышиной кнопки на рабочем столе). Панельку нужно
искать отдельно, см.
http://icculus.org/openbox/index.php/Help:Contents. Вот это -
http://bbbutton.sourceforge.net/ - может оказаться оптимальным.

Кстати, пристально разглядывая xfce4-panel, я перебрался с openbox на
xfce ;) Но для задач, похожих на вашу, openbox, конечно, будет
удобнее.

-- 
С уважением,
Прокопьев Евгений

Re: [Comm] Разрешить запуск только нескольких программ

[Dmitriy M. Maslennikov]

26 декабря 2008 г. 1:50 пользователь Хихин Руслан <hihin@rambler.ru> написал:
>  > Угу, а пользователь их удаляет, создает новые - и вуаля...
>
> а права доступа на что.
Действительно, на что? Если вы удалите права на запись в домашний
каталог, то конечно прокатит, но многие приложения хотят там создавать
свои файлы. А вот если нет, то удалять из него файлы пользователь
сможет, даже те, на которые у него прав нет ни читать, ни писать.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

Привет!

26 декабря 2008 г. 12:04 Dmitriy M. Maslennikov написал:
>> а права доступа на что.
> Действительно, на что? Если вы удалите права на запись в домашний
> каталог, то конечно прокатит, но многие приложения хотят там создавать
> свои файлы. А вот если нет, то удалять из него файлы пользователь
> сможет, даже те, на которые у него прав нет ни читать, ни писать.

Причём здесь права на домашний каталог? Надо просто установить
root:root 644 на файлы на конкретные конфигурации в домашнем каталоге
пользователя, тогда он не сможет поменять настройки окружения.

-- 
Всего доброго,

Денис.

Re: [Comm] Разрешить запуск только нескольких программ

[Dmitriy M. Maslennikov]

26 декабря 2008 г. 9:38 пользователь Denis G. Samsonenko
<d.g.samsonenko@gmail.com> написал:
> Привет!
>
> 26 декабря 2008 г. 12:04 Dmitriy M. Maslennikov написал:
>>> а права доступа на что.
>> Действительно, на что? Если вы удалите права на запись в домашний
>> каталог, то конечно прокатит, но многие приложения хотят там создавать
>> свои файлы. А вот если нет, то удалять из него файлы пользователь
>> сможет, даже те, на которые у него прав нет ни читать, ни писать.
>
> Причём здесь права на домашний каталог? Надо просто установить
> root:root 644 на файлы на конкретные конфигурации в домашнем каталоге
> пользователя, тогда он не сможет поменять настройки окружения.
Поменять - нет, а вот УДАЛИТЬ файлы сможет, так как для этого
требуются только права на директорию. После удаления можно создать
новые, у которых он уже будет владельцем.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

Привет!

26 декабря 2008 г. 14:50 Dmitriy M. Maslennikov написал:
>> Причём здесь права на домашний каталог? Надо просто установить
>> root:root 644 на файлы на конкретные конфигурации в домашнем каталоге
>> пользователя, тогда он не сможет поменять настройки окружения.
> Поменять - нет, а вот УДАЛИТЬ файлы сможет, так как для этого
> требуются только права на директорию. После удаления можно создать
> новые, у которых он уже будет владельцем.

chattr +i на нужные файлы не поможет?

-- 
Всего доброго,

Денис.

Re: [Comm] Разрешить запуск только нескольких программ

[Dmitriy M. Maslennikov]

26 декабря 2008 г. 19:32 пользователь Denis G. Samsonenko
<d.g.samsonenko@gmail.com> написал:
> 26 декабря 2008 г. 14:50 Dmitriy M. Maslennikov написал:
>>> Причём здесь права на домашний каталог? Надо просто установить
>>> root:root 644 на файлы на конкретные конфигурации в домашнем каталоге
>>> пользователя, тогда он не сможет поменять настройки окружения.
>> Поменять - нет, а вот УДАЛИТЬ файлы сможет, так как для этого
>> требуются только права на директорию. После удаления можно создать
>> новые, у которых он уже будет владельцем.
>
> chattr +i на нужные файлы не поможет?
Поможет, но в этом случае менять настройки не сможет даже рут, только
сняв предварительно этот флаг, что сильно не удобно.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Разрешить запуск только нескольких программ

[Denis G. Samsonenko]

Привет!

26 декабря 2008 г. 23:14 Dmitriy M. Maslennikov написал:
>> chattr +i на нужные файлы не поможет?
> Поможет, но в этом случае менять настройки не сможет даже рут, только
> сняв предварительно этот флаг, что сильно не удобно.

Ну, один раз настроил, присвоил артибут и забыл.

-- 
Всего доброго,

Денис.