* Re: [room] Про ограничение возможностей пользователей.
2008-08-22 20:50 [room] Про ограничение возможностей пользователей Alexei V. Mezin
@ 2008-08-22 20:56 ` Andrey Rahmatullin
2008-08-22 20:59 ` Alexei V. Mezin
2008-08-22 22:30 ` Igor Androsov
` (2 subsequent siblings)
3 siblings, 1 reply; 11+ messages in thread
From: Andrey Rahmatullin @ 2008-08-22 20:56 UTC (permalink / raw)
To: smoke-room
[-- Attachment #1: Type: text/plain, Size: 399 bytes --]
On Sat, Aug 23, 2008 at 12:50:15AM +0400, Alexei V. Mezin wrote:
> То есть под Windows решение задачи есть, а под Linux нету?
Привыкайте :]]
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):
<Lost> контейнер с котом шрёдингера: .profile: if test $((RANDOM%2)) = 0; then
rm -f /bin/cat; done
<Lost> как только ты делаешь туда логин, с вероятность 50% кот дохнет
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [room] Про ограничение возможностей пользователей.
2008-08-22 20:56 ` Andrey Rahmatullin
@ 2008-08-22 20:59 ` Alexei V. Mezin
0 siblings, 0 replies; 11+ messages in thread
From: Alexei V. Mezin @ 2008-08-22 20:59 UTC (permalink / raw)
To: smoke-room
Andrey Rahmatullin пишет:
> On Sat, Aug 23, 2008 at 12:50:15AM +0400, Alexei V. Mezin wrote:
>> То есть под Windows решение задачи есть, а под Linux нету?
> Привыкайте :]]
Да я к этому спокойно отношусь. Просто как-то на одном форуме пошла holy
war по поводу тотальной ущербности Винды. И я сказал, что в Винде в
домене можно вот так вот зарестриктить юзера, а в Линуксе нельзя (без
хитрых извращений). Так меня чуть камнями не побили за такое! И я
подумал, что может про Линукс чего не знаю. А оказалось, не только я про
него этого не знаю :)
Кстати, а если acl какой-нить настроить, чтоб пользователю в принципе
были недоступны те файлы, которые ему не нужны?
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [room] Про ограничение возможностей пользователей.
2008-08-22 20:50 [room] Про ограничение возможностей пользователей Alexei V. Mezin
2008-08-22 20:56 ` Andrey Rahmatullin
@ 2008-08-22 22:30 ` Igor Androsov
2008-08-23 6:27 ` Michael A. Kangin
3 siblings, 0 replies; 11+ messages in thread
From: Igor Androsov @ 2008-08-22 22:30 UTC (permalink / raw)
To: alexei-mezin,
Культурный
офтопик
В Сбт, 23/08/2008 в 00:50 +0400, Alexei V. Mezin пишет:
> Спрошу вопрос для общего развития:
> вот в sysadmins@ обсуждали, как сделать, чтоб пользователь мог логинится
> в определенное время, и работать только с определенным приложением. И
> особо конструктивных решений не прозвучало.
В определенное время, насколько я понимаю - man pam_time. То же самое и
про запуск приложения. В sysadmins@ нашел (не долго искал правда) только
тему по поводу ограничения времени использования определенного
приложения. Тут честно говоря не скажу готового решения, я бы обратил
внимание на пакет acct и его возможности, в связке со скриптом в cron-е,
который прибивает процесс (приложения), и меняет права доступа.
Вариантов много.
>
> Однако, на сколько я понимаю, в домене Windows администратор все это
> может настроить без особых сложностей. То есть под Windows решение
> задачи есть, а под Linux нету?
Под Linux есть слишком много всего, и много гибких вещей который
позволяют делать почти все.
--
Rgrds, Igor Androsov
ALT Linux Teeam
---- fortune ----
Не думаю, что следует помогать пользователю превратить систему в помойку.
-- sbolshakov in #10275
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [room] Про ограничение возможностей пользователей.
2008-08-22 20:50 [room] Про ограничение возможностей пользователей Alexei V. Mezin
2008-08-22 20:56 ` Andrey Rahmatullin
2008-08-22 22:30 ` Igor Androsov
@ 2008-08-23 6:27 ` Michael A. Kangin
2008-08-23 8:29 ` Andrey Rahmatullin
2008-08-23 20:58 ` Alexei V. Mezin
3 siblings, 2 replies; 11+ messages in thread
From: Michael A. Kangin @ 2008-08-23 6:27 UTC (permalink / raw)
To: alexei-mezin,
Культурный
офтопик
On 23 августа 2008 Alexei V. Mezin wrote:
> вот в sysadmins@ обсуждали, как сделать, чтоб пользователь мог логинится
> в определенное время, и работать только с определенным приложением. И
> особо конструктивных решений не прозвучало.
>
> Однако, на сколько я понимаю, в домене Windows администратор все это
> может настроить без особых сложностей. То есть под Windows решение
> задачи есть, а под Linux нету?
Настроить можно без особых сложностей, но и работать будет так... На уровне
GUI. Ибо на запуск программ через cmd не распостраняется.
А если CMD запрещать - стартовые скрипты отрабатывать не будут.
А если шеллом фигню какую единственную поставить, от Ctrl-Alt-Del + run task
это не спасёт.
Иллюзия спокойствия и могущества получается :))
--
wbr, Michael A. Kangin
OIOS, RSMU
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [room] Про ограничение возможностей пользователей.
2008-08-23 6:27 ` Michael A. Kangin
@ 2008-08-23 8:29 ` Andrey Rahmatullin
2008-08-23 20:58 ` Alexei V. Mezin
1 sibling, 0 replies; 11+ messages in thread
From: Andrey Rahmatullin @ 2008-08-23 8:29 UTC (permalink / raw)
To: smoke-room
[-- Attachment #1: Type: text/plain, Size: 451 bytes --]
On Sat, Aug 23, 2008 at 10:27:06AM +0400, Michael A. Kangin wrote:
> А если шеллом фигню какую единственную поставить, от Ctrl-Alt-Del + run task
> это не спасёт.
"Диспетчер задач отключён администратором системы" (ц)
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):
* alexott сегодня наконец-то выложил свою домашнюю страницу с новым дизайном и
сделанную с помощью elisp'a
<LunohoD> там emacs вместо вебсервера?
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [room] Про ограничение возможностей пользователей.
2008-08-23 6:27 ` Michael A. Kangin
2008-08-23 8:29 ` Andrey Rahmatullin
@ 2008-08-23 20:58 ` Alexei V. Mezin
1 sibling, 0 replies; 11+ messages in thread
From: Alexei V. Mezin @ 2008-08-23 20:58 UTC (permalink / raw)
To: smoke-room
Michael A. Kangin пишет:
> Настроить можно без особых сложностей, но и работать будет так... На уровне
> GUI. Ибо на запуск программ через cmd не распостраняется.
Запуск программ там запрещается не на уровне GUI, а гораздо глубже,
вплоть до проверки hash-образов файлов, которые пытаются запуститься, и
сравнение со списком разрешенных.
Это вы с детскими свистелками, которые реестр локальной машины правят,
попутали.
^ permalink raw reply [flat|nested] 11+ messages in thread
[parent not found: <200808231636.36603.hsvhome@mail.ru>]
* Re: [room] Про ограничение возможностей пользователей.
@ 2008-08-23 20:55 ` Alexei V. Mezin
2008-08-24 16:04 ` Sergey Y. Afonin
` (2 more replies)
0 siblings, 3 replies; 11+ messages in thread
From: Alexei V. Mezin @ 2008-08-23 20:55 UTC (permalink / raw)
To: smoke-room
Sergey Shilov пишет:
> ЭЭЭ например:
> - записать "определенное время" куда нибудь (например /etc/security/logintimes.d/USER.conf)
> - придумать команду проверки на соответствие записанному
> - в ~/.{чего нибудь}rc вписать придуманное
> - сделать ~/.{чего нибудь}rc юзеру "только для чтения"
Э-э-э... При наличии gcc можно вообще все! Придумывание "чего-нибудь" и
записывание этого "куда-нибудь" -- это (ИМХО) не выход ни разу., ибо не
законченное решение, а подпорки и костылики.
> Один из эффектов применения продуманных политик безопасности.
> Реализуется на основе SELinux, RSBAC, AppArmor (перечисленное в Альте не наблюдается, ИМХО в силу сложности настройки, а также ненужности широким народным массам)
Ага. То есть "тяжелая артиллерия" таки задачу решает. Тоже выход.
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [room] Про ограничение возможностей пользователей.
2008-08-23 20:55 ` Alexei V. Mezin
@ 2008-08-24 16:04 ` Sergey Y. Afonin
2008-08-24 16:41 ` Sergey Shilov
2008-08-25 16:20 ` Vyatcheslav Perevalov
2 siblings, 0 replies; 11+ messages in thread
From: Sergey Y. Afonin @ 2008-08-24 16:04 UTC (permalink / raw)
To: Культурный
офтопик
On Sunday 24 August 2008, Alexei V. Mezin wrote:
> > - записать "определенное время" куда нибудь (например /etc/security/logintimes.d/USER.conf)
> > - придумать команду проверки на соответствие записанному
> > - в ~/.{чего нибудь}rc вписать придуманное
> > - сделать ~/.{чего нибудь}rc юзеру "только для чтения"
>
> Э-э-э... При наличии gcc можно вообще все! Придумывание "чего-нибудь" и
> записывание этого "куда-нибудь" -- это (ИМХО) не выход ни разу.,
А выход - это чтоб само, телепатически ? :-) Ну, да, хорошо бы...
--
С уважением, Сергей Афонин
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [room] Про ограничение возможностей пользователей.
2008-08-23 20:55 ` Alexei V. Mezin
2008-08-24 16:04 ` Sergey Y. Afonin
@ 2008-08-24 16:41 ` Sergey Shilov
2008-08-25 16:20 ` Vyatcheslav Perevalov
2 siblings, 0 replies; 11+ messages in thread
From: Sergey Shilov @ 2008-08-24 16:41 UTC (permalink / raw)
To: smoke-room
В сообщении от Saturday 23 August 2008 23:55:05 Alexei V. Mezin написал(а):
> Э-э-э... При наличии gcc можно вообще все!
gcc - в наличии!
Калибр пушки для воробышка великоват.
> Придумывание "чего-нибудь" и
> записывание этого "куда-нибудь" -- это (ИМХО) не выход ни разу., ибо не
> законченное решение, а подпорки и костылики.
Так, судя по дискуссии необходим костыле-фитиль конкретному юнному дарованию.
Если "чего-нибудь" и "куда-нибудь" соответствуют текущим полиси, то
опакеченный костыль легко превращается в законченное решение.
Т.е. костыль в упаковке - это уже изделие, а с соотв. подписью - бренд.
--
С уважением
Сергей Шилов.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [room] Про ограничение возможностей пользователей.
2008-08-23 20:55 ` Alexei V. Mezin
2008-08-24 16:04 ` Sergey Y. Afonin
2008-08-24 16:41 ` Sergey Shilov
@ 2008-08-25 16:20 ` Vyatcheslav Perevalov
2 siblings, 0 replies; 11+ messages in thread
From: Vyatcheslav Perevalov @ 2008-08-25 16:20 UTC (permalink / raw)
To: alexei-mezin,
Культурный
офтопик
В сообщении от 24 августа 2008 Alexei V. Mezin написал(a):
> Э-э-э... При наличии gcc можно вообще все!
Даже при условии noexec?
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 11+ messages in thread