Fwd: asignar programes a grups d'usuaris
Subject: Re: asignar programes a grups d'usuaris
El 03/04/06, Orestes Mas <orestes@tsc.upc.edu> ha escrit:
> Si utilitzes "Access Control Lists" (ACL), el sistema de fitxers ho ha
> de suportar. En el cas de EXT3 fins fa poc això era una característica
> addicional que NO estava activada per defecte. S'havia de recompilar el
> nucli. Si no ho tens actiu els programes que esmentes no et serviran de
> res.
>
> Tanmateix, ja fa temps que ho vaig mirar i no sé si ara ja ve per
> defecte. Jo no puc ser més precís perquè no ho utilitzo.
>
> Per estalviar-te maldecaps potser et convé crear-te un esquema senzillet
> de grups, com ara "adults" i "nens". De fet, ara que hi penso només et
> cal el grup "adults". Aleshores fas que els executables "perillosos"
> pertanyin a aquest grup (se suposa que el propietari és root) i els
> assignes permisos "750". I finalment fas que els usuaris adults
> pertanyin al grup "adults" a banda dels que ja pertanyen. (adduser <nom
> d'usuari> adults)
>
> Orestes
Hola a tots :
Moltes gràcies per respondre, i donar-me una pista per on buscar la solució.
A veure si la xuleta us sembla correcta:
Problema:
Tenim N programes que no volem que ejecutem tots els usuaris perque
són no adequats , etc.
Els executables d'aquests programes estàn a:
/usr/bin/p1 amb permís -rwxr-xr-x
/usr/bin/p2 amb permís -rwxr-xr-x
.
.
.
/usr/bin/pN amb permís -rwxr-xr-x
Els usuaris adults/pares/mestres següents si han de poder executar els
programes:
usuari1
usuari2
usuari3
Els usuaris nens/fills/alumnes següents no han de poder executar el programes:
usuari4
usuari5
.
.
.
usuariM
Solució:
Si volem emprar ACL's llistes de controld de usuaris comproven si el
nucli té activades aquestes opcions amb la comanda següent des de
consola.
$ cat /boot/config* | grep _ACL
Si està activat el suport al nucli veurem per ext3 el següent:
CONFIG_EXT3_FS_POSIX_ACL=y
CONFIG_JFS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
ara creem el grup adults amb la comanda
# groupadd adults
ara asignem els usuaris adults/pares/mestres al grups adults
# adduser usuari1 adults
# adduser usuari2 adults
# adduser usuari3 adults
ara donem permisos amb setfacl als programes que volem limitar per tal
que el grup adults pugui entrar
# setfacl -s g:adults:r-x /usr/bin/p1
# setfacl -s g:adults:r-x /usr/bin/p2
# setfacl -s g:adults:r-x /usr/bin/p3
.
.
.
# setfacl -s g:adults:r-x /usr/bin/pN
ara prohibim als altres usuaris executar els programes a restringir:
# setfacl -s o:--- /usr/bin/p1
# setfacl -s o:--- /usr/bin/p2
.
.
.
# setfacl -s o:--- /usr/bin/pN
I ja està fet, si funciona ACL's ( és així com va setfacl ??? )
Si no tenim configurat el nucli per tal que ACL's funcioni , canviarem
els grups dels programes perillosos amb:
# chgrp adults /usr/bin/p1
# chgrp adults /usr/bin/p2
.
.
.
# chgrp adults /usr/bin/pN
ara canviem els permisos per tal que sols root i el grup adults puguen
executar el programa perillós:
# chmod 750 /usr/bin/p1
# chmod 750 /usr/bin/p2
.
.
.
# chmod 750 /usr/bin/pN
ara asignem els usuaris adults/pares/mestres al grup adults:
# adduser usuari1 adults
# adduser usuari2 adults
# adduser usuari3 adults
I ja està fet si no teniem el nucli adaptat pr emprar ACL's
Si us sembla bé la xuleta i ningú em corregeix res la provaré demà, no
m'atreveixo a tocar tants permisos si algú més expert no em diu que
vaig ben encaminat.
Gràcies a tots per posar-me sobre la pista.
Joan.
--
Juan Perez.
--
Juan Perez.
Reply to: