Benutzer Befehle verbieten? [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Benutzer Befehle verbieten?

[CCCB]m0p

14.09.05, 21:57

Hi,
ich möchte nur einmal wissen ob es möglich ist einem Benutzer z.B. den 'ps' Befehl zu verbieten?

Wenn ja könnte mir wer vlt die Manpages sagen, die man durchstöbern könnte? :ugly:

darkmind

14.09.05, 22:05

man chmod

10zeichen

[CCCB]m0p

15.09.05, 09:27

hmm
ich dachte, dass es auch anders ginge ...
als an den ganzen befehlen rumzudoktern... :/

ich müsste ja von daher für jeden befehl eine benutzergruppe erstellen und die ganzen benutzer dann in die gruppen einsortieren - ein geschmeidiges stück arbeit

carstenj

15.09.05, 09:41

Hallo,

geht auch:
http://www.linux-user.de/ausgabe/2002/05/084-zubefehl/sudo.html

[CCCB]m0p

15.09.05, 16:01

an sudo hatte ich auch schon gedacht... aber ist das bei den NICHT-ROOTbefehlen überhaupt möglich,oder muss ich die dann alle ins /usr/sbin bzw /sbin kopieren?!

xanlosch

15.09.05, 17:57

Nur mal so als generelle Idee: Warum steckst du den entsprechenden Nutzer nicht in ne Chroot-Umgebung, wo er nur die Sachen hat, die er auch nutzen kann / soll ? Wär vielleicht die einfachere Variante - wenn auch nicht unkomplizierter.

stefan-tiger

15.09.05, 18:13

Hat der User Zugriff auf Diskette, CD-ROM, USB-Stick, Netzwerk, WLAN oder Internet?

Dann vergiss es, schließlich kann er dann jedes "Programm" (=Befehle) auf den Rechner laden und ausführen.

[CCCB]m0p

15.09.05, 19:29

also er hat internet... aber ich will ihn halt nur vordefinierte befehle erlauben... eigentlich nur dir und halt dass er sein eigenes script ausführen kann....

es handelt sich um meinen server, wo noch ein benutzer einen prozess laufen lässt. er soll nichts weiter können als diesen prozess zu killen und neuzustarten und sein verzeichnis listen lassen... eigene programme sollte er nicht bauen können - also kein gcc etc. dateiupload nur per ftp -! wenn er scripts hochläd, sollte er keine berechtigung haben diese auszuführen, es sei denn ich schalte ihn dafür frei.

ich will also, dass er insgesamt nur 4-5 Befehle ausführen darf, die ich vorher definieren kann -

bei einem benutzer ist das mit chgrp etc noch zu machen aber wenn es dann schon zwei sind, die vlt unterschiedlichen befehlen zugeordnet sind wird es da schon kompliziert - außer ich gebe jedem prozess eine eigene gruppe und chmod 710?

steve-e

15.09.05, 20:07

Stichwort chroot.

xanlosch

15.09.05, 21:55

m0p']es handelt sich um meinen server, wo noch ein benutzer einen prozess laufen lässt. er soll nichts weiter können als diesen prozess zu killen und neuzustarten und sein verzeichnis listen lassen... eigene programme sollte er nicht bauen können - also kein gcc etc. dateiupload nur per ftp -! wenn er scripts hochläd, sollte er keine berechtigung haben diese auszuführen, es sei denn ich schalte ihn dafür frei.

ich will also, dass er insgesamt nur 4-5 Befehle ausführen darf, die ich vorher definieren kann -

Dann ist es das einfachste, wenn er nur Zugriff über ein Webinterface auf deinen Server hat (zum neustarten des Prozess bzw. zur Verzeichnisanzeige), da man sonst alles machen kann - von ner chroot-Umgebung mal abgesehen.

drunkenPenguin

16.09.05, 07:37

Dass keiner grsecurity erwaehnt hat?
-> http://www.grsecurity.net/

... oder SELinux?
-> http://linuxwiki.de/SELinux
-> http://www.nsa.gov/selinux/

[CCCB]m0p

16.09.05, 11:56

selinux klingt interessant, aber ich denke ich werde es mit einer chroot umgebung machen :) danke euch allen! :ugly: