nixp.ru v3.0

24 января 2017,
вторник,
04:03:37 MSK

DevOps с компанией «Флант»
neogeisha написала 9 июля 2007 года в 13:37 (335 просмотров) Ведет себя как женщина; открыла 53 темы в форуме, оставила 266 комментариев на сайте.

он будет заходить по ssh и выполнять только init или reboot

fly4life

«Не мог выйти из»… Откуда?

neogeisha
fly4life
«Не мог выйти из»… Откуда?

))

чтоб не мог выйти из своего домашнего каталога

тоесть чтоб жил только в /home/geo

и выше подниматься не мог

кстати, может как нибудь можно запретить ему все команды кроме, init & reboot?

Heavy

если ты его не пустишь в каталог с reboot’ом, то reboot он сделать не сможет

Anarchist
neogeisha
))

чтоб не мог выйти из своего домашнего каталога

тоесть чтоб жил только в /home/geo

и выше подниматься не мог

кстати, может как нибудь можно запретить ему все команды кроме, init & reboot?

Почему правильная постановка вопроса лишь в самом конце?

И где фотография в новом образе?! ;)

По поводу собственно вопроса:

Запретить знать что-либо выше своего хомяка — chroot.

Но возникнут проблемы с выполнением СИСТЕМНЫХ команд init (кстати, с какими аргументами) и reboot (это-то на фига при наличии вполне живого init 6???)

За ограничение списка разрешённых команд, насколько я помню документацию, отвечает sudo. Оно же — за запуск команд от имени другого пользователя (с подтверждением в виде ввода пароля или без оного).

neogeisha
Anarchist
Почему правильная постановка вопроса лишь в самом конце?

И где фотография в новом образе?! ;)

По поводу собственно вопроса:

Запретить знать что-либо выше своего хомяка — chroot.

Но возникнут проблемы с выполнением СИСТЕМНЫХ команд init (кстати, с какими аргументами) и reboot (это-то на фига при наличии вполне живого init 6???)

За ограничение списка разрешённых команд, насколько я помню документацию, отвечает sudo. Оно же — за запуск команд от имени другого пользователя (с подтверждением в виде ввода пароля или без оного).

1. задала вопрос в теме, а он был обрезан

2. как нить =)

интерфейс свой продумываю =)))))

3. штше 6 0

4. reboot мало ли, не обучится ребутить компутер по init 6

Anarchist
neogeisha
4. reboot мало ли, не обучится ребутить компутер по init 6

Однозначно sudo.

На фига обезъянке которая не способна выучить такие примитивные заклинания давать в руки бомбу (возможность удалённо перезагружать и выключать (!) компьютер)?

При том, что второе действие для удалённого доступа носит НЕОЬРАТИМЫЙ характер…

Anarchist
neogeisha
интерфейс свой продумываю =)))))

Костюм, образ… :)

Киплинга читала?

neogeisha
Anarchist
Однозначно sudo.

На фига обезъянке которая не способна выучить такие примитивные заклинания давать в руки бомбу (возможность удалённо перезагружать и выключать (!) компьютер)?

При том, что второе действие для удалённого доступа носит НЕОЬРАТИМЫЙ характер…

sudo то понятно, уже давно в системе

зы. http://forum.darknet.ru/userimg/481.jpg

fly4life
neogeisha
зы. http://forum.darknet.ru/userimg/481.jpg

Ты куришь?!

neogeisha
fly4life
Ты куришь?!

=))))

не, я не паравозик!!!

хотя иногда балуюсь вишенками или шоколадками, вкусные ))

Anarchist
neogeisha
sudo то понятно, уже давно в системе

Осталось настроить.

В файле с примерми ИМХО показано достаточно.

neogeisha
Anarchist
Осталось настроить.

В файле с примерми ИМХО показано достаточно.

да и настроен уже давно

как фота?

красивая да? =)

Anarchist
neogeisha
да и настроен уже давно

На разрешение выполнять для конкретного пользователя только две указанные команды с необходимыми правами?

Тогда в чём вопрос?

ЗЫ: Как фотография — бррр. Впечатления — отдельно, позже.

neogeisha
Anarchist
На разрешение выполнять для конкретного пользователя только две указанные команды с необходимыми правами?

Тогда в чём вопрос?

ЗЫ: Как фотография — бррр. Впечатления — отдельно, позже.

ага, с NOPASSWD

как все команды запретить?

чтоб даже whoami не сумели набирать

Dmitry Ivanov
neogeisha
как все команды запретить?

зачем?

neogeisha
Anarchist
QUOTE

http://forum.darknet.ru/userimg/18.jpg

Anarchist
neogeisha
http://forum.darknet.ru/userimg/18.jpg

Злоупотреблять фотожопом (ну или GIMP’ом) нехорошо. :)

Предыдущая была веселее :)))

Хотя эта (в отличие от первой) вполне согласуется с новым образом. ;)

ЕМНИП явным запретом всего лишнего и прописыванием разрешённого посредством visudo можно запретить.

neogeisha
Anarchist
Злоупотреблять фотожопом (ну или GIMP’ом) нехорошо. :)

Предыдущая была веселее :)))

Хотя эта (в отличие от первой) вполне согласуется с новым образом. ;)

ЕМНИП явным запретом всего лишнего и прописыванием разрешённого посредством visudo можно запретить.

paint =))

Цитирую: Anarchist — ЗЫ: Как фотография — бррр.

поэтому и скинула 18 фоту, тк энтузиазм не понят был (

Dr. Evil
neogeisha
ага, с NOPASSWD

как все команды запретить?

чтоб даже whoami не сумели набирать

ты, конечно, знаешь, где у тебя находятся бинарники init и ssh. тогда создай где-нидь в структуре файловой системы каталог bin. это можно сделать в каталоге /home/ego/. в этот каталог ты поместишь ссылки на описанные выше бинарники. в переменной PATH пользователя укажи только каталог /home/ego/bin. chroot-ом ты запретишь переход в различные каталоги.

если у тебя совсем паранойя, тогда создай новую группу, например ego, и дай права исполения этой группе только бинарников ssh, init. из всех остальных групп выкинь своего пользователя.

сойдет?

ЗЫ: кстати, зачем такие сложности?

Genie

дык может того.. просто создать пользователя rebootme? который бы и shell имел соответствующий?

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.