как запретить пользователям запускать загруженные ими файлы(программы)?

[tedbaker]

как запретить пользователям запускать загруженные ими файлы(программы)?

[Lazy_Kent]

Монтировать home с опцией noexec. Возможно, поможет, если пользователи не очень продвинутые.

[nadge]

Но при этом (вроде бы) возможно:
1. Запускать скрипты по sh <скрипт>.
2. Запускать виндовые приложения.

[Lazy_Kent]

Да можно и в /var/tmp скопировать и оттуда запустить. Всё зависит от квалификации.

[Shura]

/var/tmp и /tmp тоже надо монтировать с noexec. В остальные каталоги запись пользователям запрещена и запустить программу они не смогут.

[drBatty]

Но при этом (вроде бы) возможно:
1. Запускать скрипты по sh <скрипт>.
2. Запускать виндовые приложения.

конечно можно.

А вот в чём я не уверен, но думаю, что удастся, это возможность запустить скаченный бинарный файл по su -u user -c "programm". даже при -noexec, т.к. su будет только читать этот файл, а юзверь может юзать su со своим именем. Так-же могут помочь sudo, kdesu, и проч...

[ivan2ksusr]

а если использовать rbac и тогда конкретному пользователю можно выставить только те правила которые необходимы, так же можно указать список команд которое пользователь может выполнять и исключить тот же su к примеру, еще как вариант использовать acl(но здесь я не уверен)

[Lazy_Kent]

/var/tmp и /tmp тоже надо монтировать с noexec. В остальные каталоги запись пользователям запрещена и запустить программу они не смогут.

Про /var/tmp не уверен. Мне казалось, что там порты компилируются и, соответственно, скрипты запускаются.

Где-то читал, что даже root не может запустить исполняемый файл на смонтированной с 'noexec' файловой системе. И в то же время в man mount написано, что это как-то можно обойти.

[drBatty]

Где-то читал, что даже root не может запустить исполняемый файл на смонтированной с 'noexec' файловой системе.

не может - проверял.

И в то же время в man mount написано, что это как-то можно обойти.

отмонтировать, и смонтировать с -exec. если есть права рута - можно ВСЁ. например скопировать куда-нить в /bin/ и запустить там.

[Shura]

Про /var/tmp не уверен. Мне казалось, что там порты компилируются и, соответственно, скрипты запускаются.

Ничего там не компилируется и не запускается.

[tedbaker]

Но при этом (вроде бы) возможно:
1. Запускать скрипты по sh <скрипт>.
2. Запускать виндовые приложения.

1. Ну sh это не страшно ибо всеравно клиент сможет этим ссейч скриптом рыться в своих каталогах и только, к другим доступ закрыт
2. А чего виндовые приложения будут запускаться если вайн не установлен?

[nadge]

Ну sh это не страшно ибо всеравно клиент сможет этим ссейч скриптом рыться в своих каталогах и только, к другим доступ закрыт

Могу предположить, что такое относится и к любым другим скриптам. Т.е. вам нужно запретить запуск именно бинарников?

А чего виндовые приложения будут запускаться если вайн не установлен?

Я, разумеется, имел ввиду случаи, когда вайн установлен.

[tedbaker]

Ну sh это не страшно ибо всеравно клиент сможет этим ссейч скриптом рыться в своих каталогах и только, к другим доступ закрыт

Могу предположить, что такое относится и к любым другим скриптам. Т.е. вам нужно запретить запуск именно бинарников?

А чего виндовые приложения будут запускаться если вайн не установлен?

Я, разумеется, имел ввиду случаи, когда вайн установлен.

Да, чтобы исключить запуск какойто вредоностной программы пользователем.

Хотя возникает вопрос, можно ли запустить программу и от какого пользователя она будет работать? И может ли эта программа запустится от пользователя root или с группой wheel?

[Shura]

Пользователь может запустить программу только от своего имени и группы.
Исключение составляют запускные файлы с установленным битом SUID или SGID, которые указывают, что файл будет запускаться от имени владельца файла или от имени группы. Вообще это довольно опасно, но тут главное быть внимательным и сразу подстраховаться.
1. Таких файлов в системе наперечет, список таких файлов можно посмотреть в файле /var/log/setuid.today.
2. Смонтировать домашний раздел пользователей с опциями noexec и nosuid (на всякий случай), тогда ничего страшного не произойдёт.

Да, пользователь сможет запускать скрипты и иметь доступ к консоли, но ничего страшного в этом нет, не имея прав никакого вреда системе нанести он не сможет.