Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2012-03-09 13:29:48
djjanek - 
Użytkownik
konto z możliwością tylko podglądu
Szukam sposobu aby dać użytkownikowi możliwość podglądu wszystkich plików, nie może natomiast nic zmienić w systemie?
Próbuje z chroot:
1) stworzyłem własny skrypt ktory podpina zasoby dyskowe z opcja ro
2) chrootuje uzytkownika
jednak aby wykonac chroot trzeba miec byc root wiec dodalem w sudo i zrobilem cos takiego:
Kod:
sudo chroot /home/chroot
no ale po tym uzytkownik ma mozliwosc zapisywania do plikow bo dziala jako root w srodowiku chrootowym.
Ma ktos moze inne pomysły?
Offline
#2 2012-03-09 13:37:48
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: konto z możliwością tylko podglądu
chattr +i ?
Grsecurity ACL?
Partycja zamontowana w trybie RO zamiast RW? - nie działa? U mnie działa bez problemu, nic się na takiej nie da zapisać, root też nic nie może w tym zakresie, bez przemontowania partycji.
A jak zablokować rootowi możliwość przemontowania partycji z ro na rw?
Kod:
sysctl -w kernel.grsecurity.romount_protect=1
i gotowe.
Wymagane jajo z Grsecurity i odpowiednia opcja zaznaczona w konfigu jajka.
Do wyboru, do koloru.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-03-09 13:41:35)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2012-03-09 13:55:54
djjanek - Użytkownik
Re: konto z możliwością tylko podglądu
Wlasnie nie dziwne, moj skrypt to:
Kod:
TMP=`/usr/bin/sudo /bin/df -a | /bin/grep "/home/chroot/log" | /usr/bin/wc -l`
if [ $TMP = 0 ]; then
if /usr/bin/sudo [ -d /var/log/apache2 ]; then
#towrzenie struktury
/usr/bin/sudo /bin/mkdir -p /home/chroot/log/apache/
#montowanie
/usr/bin/sudo /bin/mount --bind -o ro /var/log/apache2 /home/chroot/log/apache/
fi
fi
/usr/bin/sudo /usr/sbin/chroot /home/chroot
exit 0moze coś zle zrobilem.
Offline
#4 2012-03-09 13:59:59
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: konto z możliwością tylko podglądu
U mnie montowanie bind z opcja ro nigdy nie działało jako ro, tylko tak, jak był zamotowany oryginalny napęd/obiekt, za to zamontowanie fizycznej partycji jako ro owszem, działa, skutecznie jak diabli.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline