Zákaz spouštění programů pro uživatele

[ETNyx]

Zdravím,

potřebuji poradit jak udělat to abych konkrétnímu uživateli zakázal spouštění konkrétního programu. Program který potřebuji pro uživatele zablokovat je perl. Předem Díky.

[dadam]

Jak moc zkušený uživatel? Jednoduše by to šlo tak, že dáš do /home/user/bin soubor, který budeš vlastnit ty (popřípadě root, takže by neměl jít smazat), bude se jmenovat perl a bude mít spustitelný příznak. Může to být skript, který jen něco vypíše. Potom se spustí on a ne perl. Tohle jde ale jednoduše obejít tak, že zadá absolutní cestu k perlu, tam už by mohlo pomoct jen najít binárku a přenastavit jí práva, aby přístup k souboru měli jen vlastník a skupina (ne ostatní) a toho uživatele ze skupiny vyšoupni. Možná to jde i jinak, jen nevím jak, tohle mě napadlo jen tak z fleku. No a ten uživatel by ještě neměl mít možnost pracovat jako root, to si potom může cokoliv co uděláš zas hezky vrátit.

[ETNyx]

Zdravím, nevím sdílíme v baráku (čti paneláku) jeden pc (server) takže toho člověka ani neznám. Asi nějaký uhřík co si rád hraje a často zablokuje ten počítač celý. Tohle řešení mě taky mohlo napadnout :-D Takže by mělo stačit odebrat příznak +x z /usr/bin/perl a ještě vytvořím skupinu (řekněme) perl a do ní naházím všchny lidi kterým dovolým užívat perl + roota a změním skupinu která vlastní perl.  (díky dadam)

Tak mam ještě otázku do budoucnosti, když bude v distribučním kanálu nová verze perlu a já jej aktualizuji bude nastavení vlastníku obnoveno do původního (podle distribučního kanálu) nebo zůstane moje modifikované?

[dadam]

Příznak neodebírej!! To, že ten program nevyužíváš ty, ještě neznamená, že ten program nevyužívá v pozadí něco jiného. Může ho klidně využívat i systém k parsování konfiguračních souborů (příklad). Udělej jen to se skupinou.

[ETNyx]

Špatně jsem se vyjádřil udělal jsem to takto chown -> root:perl; chmod -> rwxr-x--- a do skupiny perl jsem pridal uzivatele kterym důvěřuji tj můj účet :-D + root

EDIT: (originálně byla nastavena prava chown -> root:root chomd rwxr-xr-x) tak by to mělo být správně ne?

[dadam]

Vypadá to dobře, nicméně bych ještě přidal všechny ostatní uživatele krom toho co to blokuje, ať to ostatním nedělá nějaké špatnosti. Mimochodem - jaký je to vlastně server?

[LuciusMare]

Nějak jsem nepochopil co přesně jsi udělal,zajímalo by mě to - můžu prosím tě výpis

Kód: [Vybrat]

ls -l /usr/bin/perl A ty příkazy co jsi provedl?

[ETNyx]

dadam: jestli myslíš k čemu slouží, tak uživatele tam mají normálně účty vzdáleně se tam mohou připojovat, nahrávají si zálohy souborů a radši nechci vědět co ještě tam dělají, je tam veřejné (no soukromě veřejné) úložiště, běží tam apache, mysql, svn, git a streaming a to je asi tak všechno.

a díky za kunzultaci sem prostě potřeboval nakopnout tím správným směrem :-D

LuciusMare:

Kód: [Vybrat]

$ls -l /usr/bin/perl
rwxr-x--- 2 root perl 13440 2009-06-19 00:59 /usr/bin/perl
a udělal jsem toto:

Kód: [Vybrat]

groupadd perl
nano /etc/group # ke skupine perl jsem pridal uživatele jaké jsem potřeboval
chown root:perl /usr/bin/perl
chmod 750 /usr/bin/perl
tak snad sem na nic nezapoměl co jsem dělal a má to tak být :-)