Как не установить выполнение пользователями, где они могут записать?
При помещении пароля на это assymetric ключ можно продолжать использовать тот же пароль далеко за пределами того, что системный администратор настроил для вращения пароля И усиливает преимущества двух факторной безопасности. Потерять тот ноутбук с ключом на нем? Вы совсем не как завинчены!
Это будет настоящая свинья, и, честно говоря, идет вразрез с целью предоставления доступа к оболочке! Не забывайте, что для того, чтобы получить доступ к оболочке, многие программы выполняются после ввода пароля, реже всего это BASH или аналогичные, чтобы дать вам консоль! Если вы не хотите, чтобы люди выполняли программы, не предоставляйте им доступ к оболочке. Если им нужно только управлять файлами, предоставьте им доступ к FTP / SFTP. Вы даже можете предоставить доступ к SCP и просто запретить этому пользователю оболочку в / etc / passwd (посмотрите на пользователей deamon)
и, честно говоря, идет вразрез с целью предоставления доступа к оболочке! Не забывайте, что для того, чтобы получить доступ к оболочке, многие программы выполняются после ввода пароля, реже всего это BASH или аналогичные, чтобы дать вам консоль! Если вы не хотите, чтобы люди выполняли программы, не предоставляйте им доступ к оболочке. Если им нужно только управлять файлами, предоставьте им доступ к FTP / SFTP. Вы даже можете предоставить доступ к SCP и просто запретить этому пользователю оболочку в / etc / passwd (посмотрите на пользователей deamon) и, честно говоря, идет вразрез с целью предоставления доступа к оболочке! Не забывайте, что для того, чтобы получить доступ к оболочке, многие программы выполняются после ввода пароля, реже всего это BASH или аналогичные, чтобы дать вам консоль! Если вы не хотите, чтобы люди выполняли программы, не предоставляйте им доступ к оболочке. Если им нужно только управлять файлами, предоставьте им доступ к FTP / SFTP. Вы даже можете предоставить доступ к SCP и просто запретить этому пользователю оболочку в / etc / passwd (посмотрите на пользователей deamon) вместо этого предоставьте им доступ к FTP / SFTP. Вы даже можете предоставить доступ к SCP и просто запретить этому пользователю оболочку в / etc / passwd (посмотрите на пользователей deamon) вместо этого предоставьте им доступ к FTP / SFTP. Вы даже можете предоставить доступ к SCP и просто запретить этому пользователю оболочку в / etc / passwd (посмотрите на пользователей deamon)Предоставьте пользователю права на запись в каталог, который находится на томе, смонтированном с параметром монтирования «noexec».
Нет, обычно нет. (Лучшим вариантом является смонтированный каталог noexec, который не мешает запуску сценариев perl / python.) Если они могут выполнять chmod, они могут сделать файлы, помещенные в свой каталог, исполняемыми. Чтобы предотвратить это, вам понадобится какой-то контроль доступа на основе правил, обычно это модули ядра. Поскольку ядро Linux поддерживает модули безопасности, большинство из них можно загружать и выгружать во время выполнения.
Изучите SELinux, который позволяет вам настраивать, какие программы (исполняемые файлы) и / или пользователи могут делать, хотя написание политик может будет немного сложно, но есть много примеров / ссылок. (См. http://oss.tresys.com/projects/slide )
GrSecurity имеет глобальный флаг для TPE (выполнение доверенного пути), это означает, что могут запускаться только файлы, принадлежащие root (и только из корневых каталогов), плюс он также поддерживает RBAC (управление доступом на основе правил).
Обычно рекомендуется настроить систему, включить режим обучения для любого LSM вы выбрали, используйте его какое-то время, затем заблокируйте и впустите пользователей. Затем вы настраиваете ограничения, когда пользователи сталкиваются с какой-либо проблемой. Конечно, просто использование эталонных политик - отличная отправная точка.
Вы можете подготовить chroot jail и поместить туда только те программы, к которым ваш пользователь должен иметь доступ (по крайней мере, оболочка)
Не подключайте объекты в неправильном порядке. Вы не обязательно потеряете данные, но следуйте приведенным ниже инструкциям, прежде чем включать устройства.
См. руководство HP MSA60 : страница 21 описывает настройку, о которой вы говорите.
Вы ' Если используется каскадная конфигурация 1 + 2, обратите внимание на порты IN и OUT на задней панели корпуса хранения. IN - это левый порт. OUT - правильный порт. Левый разъем модуля ввода-вывода предназначен для ввода с сервера. Правый разъем модуля ввода-вывода предназначен для вывода в другой корпус хранения.
Итак: Если вы хотите, чтобы пользователь root по-прежнему мог выполнять свои функции, вы можете сделать следующее.
su root
chmod -R g-x+X o-x+X directory