1.2, demimurych (ok), 22:38, 11/07/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
спасибо.
поржал.
Автор даю наколочку
почитать про права которые можно устанавливать. Особенно посмотреть в сторону прав на выполнение,
и как их можно ставить для групп пользователей.
| |
|
2.11, konst (??), 20:51, 12/07/2013 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
> спасибо.
> поржал.
> Автор даю наколочку
> почитать про права которые можно устанавливать. Особенно посмотреть в сторону прав на
> выполнение,
> и как их можно ставить для групп пользователей.
Про права root'а почитайте.
| |
|
|
4.21, konst (??), 01:35, 15/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Ога.
> Особенно про то как созданные пустой .wine остановит рута от заупка самого
> wine а
Вы, видимо, новичок в linux. Просто опыта не хватает.
На Ваш вопрос ответ: ДА. Остановит. А почему? - Вам лучше догадаться самому.
| |
|
5.22, konst (??), 01:39, 15/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> Ога.
>> Особенно про то как созданные пустой .wine остановит рута от заупка самого
>> wine а
> Вы, видимо, новичок в linux. Просто опыта не хватает.
> На Ваш вопрос ответ: ДА. Остановит. А почему? - Вам лучше догадаться
> самому.
PS. Ответ содержится в авторском небольшом тексте.
| |
|
|
|
|
|
2.17, konst (??), 03:30, 13/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Может просто не ставить wine на боевые сервера и не давать пароль
> рута всем подряд?
Лет 15-5 назад иногда приходилось ставить wine и на "боевые серверы" (ради некоей проги). Нынче все проще (слава Богу). Производители железок/драйверов/софта теперь учитывают и linux.
А вот давать/не_давать пароль рута всем подряд - это личное демократическое дело. Не будем вмешивать сюда политику. :)
| |
|
3.38, Alan Cox (?), 16:34, 22/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Топор - лучшее средство от проблем!
Описали бы лучше:
"Предотвращение запуска компьютера любым пользователем"
"Предотвращение запуска компьютера имея рутовый пароль"
"Предотвращение запуска компьютера имея доступ к рубильнику на трансфрматорной подстанции и рутовый пароль"
"Предотвращение запуска компьютера имея ГОЛОВУ"
| |
|
4.39, konst (ok), 03:05, 23/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Топор - лучшее средство от проблем!
> Описали бы лучше:
> "Предотвращение запуска компьютера любым пользователем"
> "Предотвращение запуска компьютера имея рутовый пароль"
> "Предотвращение запуска компьютера имея доступ к рубильнику на трансфрматорной подстанции
> и рутовый пароль"
> "Предотвращение запуска компьютера имея ГОЛОВУ"
Описали бы лучше, как заставить комментаторов предварительно ВНИМАТЕЛЬНО прочитать сабж.
(хотя бы первую строку)
| |
|
5.44, Alan Cox (?), 14:02, 29/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
А зачем пользователь случайно ставит WINE и не желает её случайно запускать?
Ещё и случайно под рутом и слуайно на сервере!
Или это случайный пользователь?
на абсурдный совет - абсурдный комент
А потом из-за случайных пользователей случайные перебои в работе серверов возникают.
Спасибо за случайный совет :)
| |
|
|
|
|
|
2.41, askh (ok), 00:41, 27/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
А зачем? Это не позволит достичь поставленных автором целей, и, вообще говоря, первое же обновление Wine вернёт его на место.
| |
|
1.5, qqq (??), 11:10, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
Гы.
А вот почти правильное решение:
mount -o remount,noexec /home (ну или mount -u -o noexec /usr/home)
chgrp wine /usr/bin/wine (chgrp wine /usr/local/bin/wine)
chmod 550 /usr/bin/wine (chmod 550 /usr/local/bin/wine)
перемонтирование /home с noexec - "защитит" от установки wine в домашний каталог
Можно ещё добавить специальную группу для использования компиляторов.
| |
|
2.28, Злыдень (??), 01:47, 18/07/2013 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
> Гы.
> А вот почти правильное решение:
> mount -o remount,noexec /home (ну или mount -u -o noexec /usr/home)
> chgrp wine /usr/bin/wine (chgrp wine /usr/local/bin/wine)
> chmod 550 /usr/bin/wine (chmod 550 /usr/local/bin/wine)
> перемонтирование /home с noexec - "защитит" от установки wine в домашний каталог
> Можно ещё добавить специальную группу для использования компиляторов.
Откройте для себя LD_PRELOAD.
СпИцИалисты по безопасности.
Уволил бы вас сразу за такое "решение".
| |
|
3.36, Аноним (-), 21:17, 18/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
$ cd ~/tmp
$ gcc -fPIC -c -o test.o -x c - <<EOF
#include <stdio.h>
void _init(void) { printf( "TEST\n" ); }
EOF
$ gcc test.o -shared -nostdlib -lgcc -o libtest.so
$ mount | grep ~/tmp
none on /home/x/tmp type tmpfs (rw,noexec,nosuid,nodev,size=2g,uid=1000,gid=1000,mode=0700)
$ LD_PRELOAD=~/tmp/libtest.so uname
ERROR: ld.so: object '/home/x/tmp/libtest.so' from LD_PRELOAD cannot be preloaded: ignored.
Linux
$ su -c "mount -o remount,exec /home/x/tmp"
Password:
$ mount | grep ~/tmp
none on /home/x/tmp type tmpfs (rw,size=2g,uid=1000,gid=1000,mode=0700)
$ LD_PRELOAD=~/tmp/libtest.so uname
TEST
Linux
| |
|
4.37, Иван Иванович Иванов (?), 14:21, 20/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Уговорили :)
$ cd tmp
$ wget http://www.win.tue.nl/~aeb/linux/hh/fixelf.c
$ cp /usr/bin/bc /tmp
$ gcc fixelf.c -o fixelf
$ ./fixelf bc
# mount -o remount,noexec /tmp
$ mount | grep tmp
tmpfs on /tmp type tmpfs (rw,noexec,nosuid,nodev)
$ /lib/ld-linux.so.2 ./fixelf.out
bc 1.06.95
Copyright 1991-1994, 1997, 1998, 2000, 2004, 2006 Free Software Foundation, Inc.
This is free software with ABSOLUTELY NO WARRANTY.
For details type 'warranty'.
| |
|
5.43, Аноним (-), 09:47, 29/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
В какой среде это надо выполнять? Apparmor или SELinux надо при этом отключать?
У меня упрямо выдает:
error while loading shared libraries
| |
|
|
|
|
1.6, qqq (??), 11:13, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
Гы номер 2:
пользователь потом сделает у себя в каталоге rm -f .wine и будет счастлив, даже без WINEPREFIX:
Маленькая демонстрация:
igorr:~>ls -ld QQQQ
---------- 1 root wheel 0 12 jul 11:12 QQQQ
igorr:~>pwd
/usr/home/igorr
igorr:~>id
uid=1001(igorr) gid=1001(igorr) groups=1001(igorr)
igorr:~>rm -f QQQQ
igorr:~>ls -ld QQQQ
ls: QQQQ: No such file or directory
| |
|
2.7, qqq (??), 11:15, 12/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
А теперь нужно принести извинения: там в заметке сказано, что защита не от запуска wine, а "защита" от случайного запуска wineю
| |
|
1.8, Igor (??), 11:23, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
Ну смотрите, по логике, если wine будет иметь имя, которое знаете только вы сами, то уже вероятность случайного запуска из-за внешних программ упадет в разы. Или нет?
| |
1.15, mihalych (ok), 22:20, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
Имхо нужно патчить вайн, чтобы от рута не запускался. Раньше он и сам отваливался с предупреждением о том, что от рута так низзя. Сейчас вроде и от рута работает. А фокус с файликом - это костыль в чистом виде. Это можно легко обойти.
| |
|
2.16, konst (??), 02:48, 13/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Имхо нужно патчить вайн, чтобы от рута не запускался. Раньше он и
> сам отваливался с предупреждением о том, что от рута так низзя.
> Сейчас вроде и от рута работает. А фокус с файликом -
> это костыль в чистом виде. Это можно легко обойти.
Для desktop - очень даже нормальное решение. Сам я wine не пользую, но понимаю, что часто возникает ситуация, когда у тебя запущено несколько xterm и в одном из них ты под root! и выполняешь команду, которую под root давать не стоит.
Предложенное решение - это нормальное решение для домашних раб.станций, которые юзуют wine, и не хотят, чтобы wine "вдруг" запустился из под root.
| |
2.42, askh (ok), 00:52, 27/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> это костыль в чистом виде. Это можно легко обойти.
Это, скорее, как предохранитель на оружии — защита от собственной ошибки или неосторожности, а не для ограничения доступа.
| |
|
|
|
3.33, pavlinux (ok), 14:16, 18/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> alias wine='[ "$EUID" == 0 ] && false';
> это конечно проще команды touch ~/.wine :)
$ export HOME=/tmp
и пиcец, нету больше вашей /root/.wine
$ export EUID=666
bash: EUID: доступная только на чтение переменная
Более того, есть переменная WINEPREFIX, которая чудно меняется на что приспичит.
$ export WINEPREFIX=$HOME/.wineshit
$ wine
опа, и нам пох на touch ~/.wine;
---
Поэтому ваш костыль нужно дорабатывать
export WINEPREFIX=$HOME/.wine && readonly WINEPREFIX HOME && touch $WINEPREFIX;
| |
3.46, Аноним (-), 23:52, 29/07/2013 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Это логичнее. Мы не надеемся на то, что поведение Wine останется прежним по отношению к файлику .wine, а делаем ровно то, что подразумеваем: проверяем EUID и в зависимости от него принимаем решение.
Кстати, что вы будете делать, если в системе не один рут и у них не одна и та же домашняя директория? А что если WINEPREFIX вдруг определен?
P.S.
Предложенное решение показывало верный ход мыслей, но оно не до конца верно. Правильным будет что-то такое:
alias wine='[ "$EUID" == 0 ] || /usr/bin/wine';
| |
|
|
|