Ограничение прав

[TWINc]

Каким образом можно ограничить права рута?
Сделать например папку не доступной для чтения всем (даже руту) кроме программы /some_prog?

[sash-kan]

root может прочитать все. почти все.
на то он и root.

"почти" — это, например, зашифрованная информация.
и как ее расшифровать — знает только некая программа /some_prog.

[TWINc]

sash-kan
ограничить права точно можно... просто я замучался уже этот LIDS настраивать. хотел узнать существуют ли альтернативы

[sash-kan]

ограничить права точно можно

↑

конечно можно. точно можно.
а также можно вернуть их обратно. точно можно.
root есть root.

на слове root, конечно, свет клином не сошелся.
поменяй, например, в /etc/passwd пользователю root идентификатор uid. чтоб не ноль был (:

p.s. для тех, кто побежит пробовать - напомню: при этом установите нулевой uid хоть какому-нибудь другому пользователю, пароль которого знаете. а то будет весело.

[TWINc]

sash-kan
/sbin/lidsconf -A -o / -j READONLY
и никакой рут (да и любой пользователь под этим ядром) никогда не сможет изменить фс да и система не загрузиться =)

[serzh-z]

Ну так в чём тогда проблема? Хочется того, что даёт LIDS, но в другом флаконе? В таком случае можно взять другую систему, которая также обеспечит MAC - тот же раскрученный SELinux.

[TWINc]

serzh-z
Просто меня LIDS смущает... форум давно умер. последняя версия под 2.6.14 ядро. у меня встал патч с оффсетом в 15 страниц. нормально все же но...)

посмотрю в сторону SELinux <_<

[sash-kan]

Signate
не, ну это понятно, что поменяв код ядра, можно сделать вообще все что угодно.
вопрос-то был не про пляски вокруг ядерных исходников.

а вообще даже интересно стало — это в связи с чем такая недоступность требуется. если не секрет.

[sash-kan]

поразмышлял-поразмышлял я тут и пришел к выводу, что от root-а защититься если все-таки и можно, то _очень_ муторное это дело. и то лишь в том случае, если нет физического доступа к машине.
проще уж вообще убрать пользователя с uid равным нулю. шутка.

а если серьезно — то шифрованый файл видится мне гораздо более элегантым решением. главное — поможет даже при наличии физ. доступа к машине. но, конечно, не идеально и такое решение. ведь имея доступ к бинарному файлу программы-расшифровщика, в конце концов можно и разобраться в алгоритме шифрования.

[Alexxx]

Каким образом можно ограничить права рута?
Сделать например папку не доступной для чтения всем (даже руту) кроме программы /some_prog?

serzh-z же сказал, - SELinux. Читайте, копайте, внедряйте... Оно собственно для этого и предназначено.

[shrikes]

Каким образом можно ограничить права рута?
Сделать например папку не доступной для чтения всем (даже руту) кроме программы /some_prog?

попробуй chattr, меняет атрибуты файла...помоему так можно запретить доступ к файлу даже руту, есть более сложные методы типа RSBAC, LIDS, но тут придеться прочитать кучу документации, сделать много экспериментов.

[TWINc]

попробуй chattr, меняет атрибуты файла...помоему так можно запретить доступ к файлу даже руту, есть более сложные методы типа RSBAC, LIDS, но тут придеться прочитать кучу документации, сделать много экспериментов.

помойму chattr это совсем не то, а вот RSBAC меня заинтересовал =)

а вообще даже интересно стало — это в связи с чем такая недоступность требуется. если не секрет.

Не секрет. есть коммерческое программное обеспечение под линуксу которое надо защитить по самые гладны. сделать недоступным поравку sql базы из вне (т.е. не через нашу программу). А так же ограничить доступ чтобы рут не смог всех покарать =) Я сам не совсем понимаю зачем это... я бы остановился только на fuse+encfs, ведь все эти защиты лидсом или рсбаком снимаються через любой LiveCD

[serzh-z]

есть более сложные методы типа RSBAC, LIDS

Читаем топик сначала, да?..

[sash-kan]

ведь все эти защиты лидсом или рсбаком снимаються через любой LiveCD

↑

или еще проще (если я правильно понял описание lids-а) — требуется всего лишь знание _еще_ одного дополнительного пароля. зная его, можно и без физдоступа изменить любые ограничения, накладываемые тем же lids-ом.
так на кой оно надо? ответственное лицо меняет пароль рута, вычищается sudoers, /root/.ssh/* и т.д. т.п. — и чем это не секурнее решения через lids?

[rolano]

Не секрет. есть коммерческое программное обеспечение под линуксу которое надо защитить по самые гладны. сделать недоступным поравку sql базы из вне (т.е. не через нашу программу). А так же ограничить доступ чтобы рут не смог всех покарать =) Я сам не совсем понимаю зачем это... я бы остановился только на fuse+encfs, ведь все эти защиты лидсом или рсбаком снимаються через любой LiveCD

↑

Хм... ИМХО рут для того в системе и нужен, чтобы работать без ограничений, а вот остальным юзерам можно полномочия обрубить по самые небалуйся.
Если надо защитить базу от правки кустарными способами - держите ее на отдельной машине, которую охраняет злая собака
И вообще немного проясните - вы защищаетесь от пользователей или от других админов?

[TWINc]

rolano
скорее всего от других админов. ведь программа то не у меня в офисе будет стоять, а на фирме