Proibir o acesso de determinados programas a grupos de usuários específicos

0

Estou tentando fazer alguns níveis de segurança no meu sistema linux. Por exemplo, negar acesso ao comando ping ou ao aplicativo utilitário de disco pode ser feito com facilidade, restringindo as permissões para 750 para binários:

/ bin / ping

/ usr / bin / gnome-disks

e um usuário não poderá executá-los. Mas o problema é que o usuário pode de alguma forma obter o mesmo binário de fora e colocar esse binário em sua pasta inicial. Como o usuário não pode ser impedido de conceder permissões a seus próprios arquivos, ele pode executar os arquivos binários e evitar as permissões concedidas nos arquivos do sistema.

Como posso impedir que o usuário faça isso?

    
por Marko Farkas 04.10.2017 / 12:23

1 resposta

0

Primeiramente, removeremos o bit de execução de todos os arquivos em $ HOME:

chmod a-x $HOME/*

Depois, nos certificamos de que quaisquer novos arquivos criados em casa não tenham o bit de execução definido:

umask 006 $HOME

No entanto, os usuários ainda podem definir manualmente algo como + x para que possam executá-lo manualmente. Pará-los fazendo isso é mais complicado, pois você precisará apropriar-se de todos os arquivos criados por eles e adicioná-los a um grupo que lhes dê acesso de leitura / gravação, mas não a capacidade de alterar as permissões.

    
por 04.10.2017 / 12:59