[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Разрешить пользователю запускать только несколько программ

On Wed, Jun 02, 2004 at 01:56:12PM +0600, Viktor Vislobokov wrote:
> >>Но на атрибутах, наверно, тоже можно сделать.

IMHO нельзя. Вернее можно, но это те же 3x3.

> Каким образом, если запретить например cp, install и подобные проги?

Это зависит от того, что Вы _позволяете_ пользователям. sh, perl, C...

> А про suid'ые программы я вообще молчу.

Их так мало осталось... снимите с них suid, используйте sudo.

> При грамотном использовании ACL дают преимущества и не мешают.
> А при сколь-нибудь сложном разделении прав без них просто не обойтись.

ACL, как правило, служат для _расширения_ прав пользователя и
collaboration пользователей. Для того чтобы _запретить_ доступ
к системным ресурсам 3x3 вполне чем достаточен.

> Я согласен с этим, если цель - именно защита данных, а не запуск 
> программ. Тогда chroot - это наилучшее решение проблем.

Запрет на _запуск программ_ -- абсурд. Почему Вы хотите из запретить?
Ресурсоемкость? Для этого есть лимиты... Используется много
"нестатандартно" суидных программ? Избавьтесь от них...

--
Иван Лох
Reply to: