Archiv verlassen und diese Seite im Standarddesign anzeigen : Benutzer Befehle verbieten?
Hi,
ich möchte nur einmal wissen ob es möglich ist einem Benutzer z.B. den 'ps' Befehl zu verbieten?
Wenn ja könnte mir wer vlt die Manpages sagen, die man durchstöbern könnte? :ugly:
hmm
ich dachte, dass es auch anders ginge ...
als an den ganzen befehlen rumzudoktern... :/
ich müsste ja von daher für jeden befehl eine benutzergruppe erstellen und die ganzen benutzer dann in die gruppen einsortieren - ein geschmeidiges stück arbeit
Hallo,
geht auch:
http://www.linux-user.de/ausgabe/2002/05/084-zubefehl/sudo.html
an sudo hatte ich auch schon gedacht... aber ist das bei den NICHT-ROOTbefehlen überhaupt möglich,oder muss ich die dann alle ins /usr/sbin bzw /sbin kopieren?!
Nur mal so als generelle Idee: Warum steckst du den entsprechenden Nutzer nicht in ne Chroot-Umgebung, wo er nur die Sachen hat, die er auch nutzen kann / soll ? Wär vielleicht die einfachere Variante - wenn auch nicht unkomplizierter.
stefan-tiger
15.09.05, 18:13
Hat der User Zugriff auf Diskette, CD-ROM, USB-Stick, Netzwerk, WLAN oder Internet?
Dann vergiss es, schließlich kann er dann jedes "Programm" (=Befehle) auf den Rechner laden und ausführen.
also er hat internet... aber ich will ihn halt nur vordefinierte befehle erlauben... eigentlich nur dir und halt dass er sein eigenes script ausführen kann....
es handelt sich um meinen server, wo noch ein benutzer einen prozess laufen lässt. er soll nichts weiter können als diesen prozess zu killen und neuzustarten und sein verzeichnis listen lassen... eigene programme sollte er nicht bauen können - also kein gcc etc. dateiupload nur per ftp -! wenn er scripts hochläd, sollte er keine berechtigung haben diese auszuführen, es sei denn ich schalte ihn dafür frei.
ich will also, dass er insgesamt nur 4-5 Befehle ausführen darf, die ich vorher definieren kann -
bei einem benutzer ist das mit chgrp etc noch zu machen aber wenn es dann schon zwei sind, die vlt unterschiedlichen befehlen zugeordnet sind wird es da schon kompliziert - außer ich gebe jedem prozess eine eigene gruppe und chmod 710?
m0p']es handelt sich um meinen server, wo noch ein benutzer einen prozess laufen lässt. er soll nichts weiter können als diesen prozess zu killen und neuzustarten und sein verzeichnis listen lassen... eigene programme sollte er nicht bauen können - also kein gcc etc. dateiupload nur per ftp -! wenn er scripts hochläd, sollte er keine berechtigung haben diese auszuführen, es sei denn ich schalte ihn dafür frei.
ich will also, dass er insgesamt nur 4-5 Befehle ausführen darf, die ich vorher definieren kann -
Dann ist es das einfachste, wenn er nur Zugriff über ein Webinterface auf deinen Server hat (zum neustarten des Prozess bzw. zur Verzeichnisanzeige), da man sonst alles machen kann - von ner chroot-Umgebung mal abgesehen.
drunkenPenguin
16.09.05, 07:37
Dass keiner grsecurity erwaehnt hat?
-> http://www.grsecurity.net/
... oder SELinux?
-> http://linuxwiki.de/SELinux
-> http://www.nsa.gov/selinux/
selinux klingt interessant, aber ich denke ich werde es mit einer chroot umgebung machen :) danke euch allen! :ugly:
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.