Изпечатай

[Akasha]

Как да направя така че примерно при един ps aux потребителя да не вижда root-ските както и процесите на останалите потребители а да вижда само процесите на неговия си потребител както примерно при ps x
-------------------------------------------------------
xxxxx@xxxxxxx ~$ passwd
Changing password for xxxxxx
Old password:
Incorrect password for `xxxxxx'
The password for xxxxxx is unchanged.
xxxxx@xxxxxxx ~$
а въведената парола е същата ( в случая 123456 ) ... къде може да е проблема ?!дистро - slack12 '>

[gat3way]

За първият въпрос: да.

Като хората това се прави с подходящ пач за ядрото (има няколко варианта на тази тема).

Алтернативно:

Цитат

chmod go-r /proc/[1-9]*/*

Върши тази глупост, поне докато не се пръкне нов процес. Ерго или го набиваш в един цикъл (с малко sleep, за да не тормозиш машината), или го слагаш в crontab, но така има опасност да се види някой новопоявил се чужд процес преди да е минал следващият cronjob.

Възможно е и да има някаква mount опция за procfs, но не знам. Ако някой знае, да каже '>

[bulg]

Една малко стара статия може би ще ти влезе в употреба.

[ivo1204]

Гледам много дистра правят нещо подобно , определени команди са налични само като "root" .Командата просто я няма в пътя на потребителя .

[gat3way]

Това с пътя надали се прави с цел "сигурност", защото би звучало потресаващо глупаво '>

Между другото, защо няма подтема за сигурността на линукс? Мисля, че идеята е много добра и винаги съм се чудил защо не е реализирана досега..

[ivo1204]

Може и да си поиграеш и с "alias" командата. На потребител
"user" да му сложиш нещо такова:
alias ps='ps -u user;'
така че каквото и "ps" да пише , да е:ps -u user
Абе то може да сложиш всичко , каквото душа ти иска , само
в пътя на потребителя трябва да бъде намерено твоята версия първо.Например може да си напишеш цело "конско"
"ехо , нямаш право така и така"
в bash скрипт с име ps.

[gat3way]

Ммм, това вече си зависи от потребителя, доколко наистина желае да види изхода от ps '>

[neter]

Едно решение и от мен за първия ти въпрос. Преименувай и премести /bin/ps някъде и така, че шансът потребителят да се усети, че това е оригиналния /usr/ps, да е минимален. При мен например, сред процесите имам един идеален /usr/bin/gnome-session. Бих преместил /bin/ps в папка /usr/lib/ с име "gnome-session" и така ще стане /usr/lib/gnome-session. Когато този процес се изпълни, той ще застане в списъка с това си име. Много малко потребители биха се сетили, че gnome-session няма работа в /usr/lib, а още по-малко биха забелязали, че в пътя седи lib, а не bin. След това си направи един файл и сложи в него това според примера, който дадох

Примерен код

#!/bin/bash /usr/lib/gnome-session x

След това го компилирай с shc (ако го нямаш, качи си го)

Примерен код

shc -f /път/до/файла

Полученият файл с разширение ".х" го преименувай на "ps" и го премести в /bin (т.е. да стане /bin/ps) и му задай "chown root:root" и "chmod 755". Колкото по-добре скриеш оригиналния файл, толкова по-сигурен можеш да бъдеш, че потребителите няма да се сетят какво е това. Фалшивият /bin/ps ще бъде компилиран, така че няма да могат да прочетат съдържанието му. Успех '>

По втория ти въпрос. Откъде си сигурен, че не бъркаш настоящата парола на потребителя?

[ivo1204]

Разбира се , това не е само за сигурност , може да служи и за улеснение на потрбителите:

Цитат

#!/bin/bash # файл ps USER=`id -un` echo "You  are user $UID" case "$USER" in    root)        ps -$1 $2 ;;  tsvetanspam)        kexec TsonicOS ;;    *)        ps esac

[gat3way]

Проблемите със секюритито трябва да се решават по-брутално  мисля аз '>

Иначе ще възникват следните моменти:

1) top, pstree, донякъде pidof могат да разкрият малко или много същите неща
2) /proc продължава да си е достъпен - човек може да си напише собствен top ако иска '> защото всички подобни програми взимат данните за процесите от procfs
3) Ако целта е експлицитно да няма ps, един потребител спокойно може да си го качи през scp и да го изпълни (примерно).


Ясно е че всичко зависи от потребителя, но решавайки проблема генерално просто се презастраховаш от по-умни потребители (или от такива, откраднали акаунта им) '>

[neter]

//offtopic

Цитат

tsvetanspam)    kexec TsonicOS ;;

Хахахаха Ей, този човек стана нарицателен. Ама съм решил (малко егоистично) да не коментирам, а само да се любувам на глупостите, които чета напоследък около него. Стават за оправяне на настроението '>

//ontopic

Ясно е, че сигурността и защитата във всяко едно отношение, е игра на "кой знае повече". Всяка защита може да бъде преодоляна и всяка дупка в защитата може да бъде попълнена. Затова човек никога не трябва да се доверява на готови решения относно сигурността, а трябва да си изгради защитата сам според конкретната ситуация, организация в системата и конкретните хора и външни машини, за които ще действа. Затова, Akasha, не използвай дусловно и единствено само едно от предложенията, а ги използвай вкупом като основа за изграждане на твоята защита, като добавиш и още идеи от нета и дори нещо свое '>

[tarator]

Абе господа,надявам се, че не сте системни администратори някъде, че като гледам какви "гениални" идеи давата чак ме хваща страх. '>

Криене на ps, преименуването му, правене на alias... Малоумни ли сте? А какво ще попречи на потребителя да си копира ps от друга система или просто да си го компилира?

[ivo1204]

Разбира се , въпроса не е в "ps" или други от този род , въпроса е може ли да забраним на потребител да чете от
 " /proc" ? Доста програми зависят от това , дали няма да блокитат? Нямам идея обаче какъв би бил ефекта.

[gat3way]

Абе имам една гениална (хаха) идея '>

Гледам:

root@debian:/# ldd /bin/ps
        linux-gate.so.1 =>  (0xffffe000)
        libproc-3.2.6.so => /lib/libproc-3.2.6.so (0xb7f3e000)
        libc.so.6 => /lib/libc.so.6 (0xb7df1000)
        /lib/ld-linux.so.2 (0xb7f79000)

Ми най-лесното да вземем да направим нещо от сорта на:

chmod -r /lib/libproc-3.2.6.so

И нека да си качва! Ей така слагаме още едно ниво на сигурност! Щото не се знае дали лошият потребител прави разлика между static/dynamic-built байнърита и може и да не се сети. Сега че може да си пусне един файл мениджър (mc примерно) и да си браузва из /proc е съвсем отделен въпрос '>

Какво ще кажете за тази прекрасна идея '>

[gat3way]

Цитат

Разбира се , въпроса не е в "ps" или други от този род , въпроса е може ли да забраним на потребител да чете от " /proc" ? Доста програми зависят от това , дали няма да блокитат? Нямам идея обаче какъв би бил ефекта.

Може. В повечето случаи няма да му се налага да чете оттам. Има гранични случаи, но по принцип не е проблем. Освен това не е казано че не трябва въобще да чете. Може да чете неговите си неща, въпросът е да не чете чуждите.