zamezeni uzivateli vlizt do jineho adresare.
Dave Lister
dave na birko.cjb.net
Čtvrtek Červen 19 17:12:47 CEST 2003
On Thu, Jun 19, 2003 at 04:42:21PM +0200, Lubomir Odraska wrote:
> zdravim, jak zabranim uzivateli, aby nemohl vlezt, respektive ani
> videt adresare na disku a adresare jinych uzivatelu? aby se mohl
> pohybovat a videt jen svuj home/uzivatel?
Predpokladam, ze vsechny hlavni adresare vlastni root, mozna je sem tam
nejaka jina group. Aby jste beznemu userovi zabranili koukat co v
adresarich je, nebo jim uplne zakazat pristup do nich, odeberte tato
prava. Treba takhle:
chmod 751 / neuvidi nic pri "ls /", ale muzou vlezt
chmod 700 /boot nedostanou se do /boot
chmod 751 /etc neuvidi nic pri "ls /etc", muzou vlezt
chmod 751 /home neuvidi ostatni adresare homu
chmod 700 /home/* do sveho homu muze jen jeho majitel
chmod 700 /root jasnacka
chmod 750 /sbin zakaze pristup k syst. binarkam
chmod 1773 /tmp klasicky /tmp, ale nikdo nevidi co uz tam je
chmod 750 /usr/src zavrit zdrojaky jadra
chmod 751 /usr/sbin zneprijemnit rejpani do min syst. binarek
.
.
.
a tak dale. Dobre je zbavit system suid binarek, je to na ukor pohodli,
ale vyplati se. I veci jako je Exim jde rozbehat nesuid root. Staci,
kdyz nechate suid root
/bin/su
/usr/bin/passwd
/usr/X11R6/bin/X
Samozrejme to nemuzete slepe nasledovat, zalezi na vasi distribuci. Ja
mam Debiana Woodyho a tyhle tri binarky jsou jediny 4/6755 root.
Dave
Další informace o konferenci Linux