Forum » Operacijski sistemi » [Debian] Kako omejit, kam lahko dostopa lokalni user account?
[Debian] Kako omejit, kam lahko dostopa lokalni user account?
HotBurek ::
Dobro jutro.
Evo, tokrat je pa izziv bolj sistemske narave.
Namreč, kako omejit lokalni user account, da bo imel dostop samo do:
- direktorija /var/neki/ (rwx)
- možnost zagnat python interpeter (/usr/bin/python3.9), ter skripto iz zgoraj omenjenega direktorija
- možnost dostopa do network-a (http get)
- možnost dostopa do lokalne baze (tcp port 3306)
Vse ostalo pa, da je onemogočeno.
Kot primer. Trenutno se navaden user lahko sprehodi do nginx config fajlov in jih bere. I don't like that.
Na internetih sem našel dosti primerov, ki so mišljeni, ko se nekdo poveže preko SSH. A to ni to.
Gre za primer, ko npr. zaženeš proces pod drugim accountom in ta ni vezan na SSH.
Evo, tokrat je pa izziv bolj sistemske narave.
Namreč, kako omejit lokalni user account, da bo imel dostop samo do:
- direktorija /var/neki/ (rwx)
- možnost zagnat python interpeter (/usr/bin/python3.9), ter skripto iz zgoraj omenjenega direktorija
- možnost dostopa do network-a (http get)
- možnost dostopa do lokalne baze (tcp port 3306)
Vse ostalo pa, da je onemogočeno.
Kot primer. Trenutno se navaden user lahko sprehodi do nginx config fajlov in jih bere. I don't like that.
Na internetih sem našel dosti primerov, ki so mišljeni, ko se nekdo poveže preko SSH. A to ni to.
Gre za primer, ko npr. zaženeš proces pod drugim accountom in ta ni vezan na SSH.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
- spremenilo: HotBurek ()
HotBurek ::
Zgleda, da bom uporabil AppArmor.
Config mi je uspelo pripeljat tako daleč, da omejim samo na tiste folderje, ki jih Python skripta rabi, da se izvede. Jih je kar ene ~20.
Network omejit pa zaenkrat ni uspelo. We will see.
Config mi je uspelo pripeljat tako daleč, da omejim samo na tiste folderje, ki jih Python skripta rabi, da se izvede. Jih je kar ene ~20.
Network omejit pa zaenkrat ni uspelo. We will see.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
Zgodovina sprememb…
- spremenilo: HotBurek ()
Invictus ::
userji, grope in chmod, chown komanda 
.
. "Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Postavitev mySQLOddelek: Programiranje | 2261 (1839) | M01O |
| » | Kako zaščititi /uploads direktorij?Oddelek: Izdelava spletišč | 2142 (1905) | MrBrdo |
| » | clarkconnect rabim poomoč pri inštaliranju! (strani: 1 2 3 4 5 )Oddelek: Operacijski sistemi | 16734 (8273) | Gapi |
| » | [Linux][OpenSuSe] SVN repozitorij na Windows shared folders in pravice za datotečni sOddelek: Operacijski sistemi | 1900 (1704) | 'FireSTORM' |
| » | Nekaj Linux vprasanjOddelek: Operacijski sistemi | 2139 (1860) | HerrBaron |