Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

Antal processer per användare?

1
Skriv svar
Permalänk
Medlem

Antal processer per användare?

Fråga1.
Hur kan man göra så att en viss användare bara kan använda t.ex irssi och screen, inte kunna starta upp en massa andra saker?

Fråga2.
Hur kan man se till att en användare startar upp max 3 processer på sitt konto?

Har några stycken som vill ha shells av mig, men jag ser helst att varje användare inte drar igång 13 irssi :/

Redigera
Citera flera Citera
Permalänk
Medlem

Antal processer som en user kan starta kan du begränsa med ulimit.
Vet inget jätte bra sätt att hindra users att starta annat men du skulle ju alltid
kunna slänga in dem in en chrootad miljö som bara innehöll det du ville att de ska kunna köra.

Visa signatur

I ask them why they never shower, and the usual response is something along the lines of "showering is like rebooting" and "I do n't want to lose my uptime."

Redigera
Citera flera Citera
Permalänk
Medlem

Provade Jail igår, men fatsän jag gjorde precis som i exemplet så fungerade det inte :/
Användaren kunde traska runt hur som helst :/

Läste på slackware.se att man kunde läss irssi som shell, men jag fick det inte att fungera :/

Citat:

echo "/sök/väg/till/irssi" >> /etc/shells
chsh username
sätt där irssi som shell

---

login as: blah1
blah1@dc.fnask.nu's password:
Access denied

Edit: Ulimit fungerade juh, fast när jag loggar ut root, så försvinner mina ulimits :/

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Jag hade nog börjat med att kika närmare på SELinux (http://sourceforge.net/docman/display_doc.php?docid=14882&gro...).
Man borde kunna förbjuda access till allt utom ett fåtal filer och program för grupper av användare. Det blir säkert lite krångligt att få till men det borde nog kunan fungera, och bli mycket säkert.
Jag har tyvärr inte särskilt mycket erfarenhet av just SELinux, men jag har kört en hel del med eTrust Access Control som är en kommersiell UNIX och Windows mjukvara för motsvarande funktioner.

Tänk bara på att man blockerar på låg nivå. Bara för man tillåter /bin/ls att exekveras så betyder inte det att man automatiskt får läsa in /lib/libc.so.6.

Visa signatur

I am not a politician and my other habits are also good.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Henque
Jag hade nog börjat med att kika närmare på SELinux (http://sourceforge.net/docman/display_doc.php?docid=14882&gro...).
Man borde kunna förbjuda access till allt utom ett fåtal filer och program för grupper av användare. Det blir säkert lite krångligt att få till men det borde nog kunan fungera, och bli mycket säkert.
Jag har tyvärr inte särskilt mycket erfarenhet av just SELinux, men jag har kört en hel del med eTrust Access Control som är en kommersiell UNIX och Windows mjukvara för motsvarande funktioner.

Tänk bara på att man blockerar på låg nivå. Bara för man tillåter /bin/ls att exekveras så betyder inte det att man automatiskt får läsa in /lib/libc.so.6.

Tack för tipset, men jag känner inte för att byta dist bara för att jag är paranoid(?) och vill låsa användarna

Redigera
Citera flera Citera
Permalänk
Medlem

Grsecurity kanske kan vara något? Du måste kompilera om din kärna med grsecurity-patchen, sen kan du ställa in vilka program osv som användare ska få köra. Förutom RBAC-systemet får du en hel del andra saker som gör ökar säkerheten!

http://www.grsecurity.net/

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av denil
Tack för tipset, men jag känner inte för att byta dist bara för att jag är paranoid(?) och vill låsa användarna

Det är ingen dist, det är en patch till kärnan

Visa signatur

flippy @ Quakenet

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av ante84
Det är ingen dist, det är en patch till kärnan

Ah okey, det missade jag

Redigera
Citera flera Citera
Permalänk
Medlem

var det inte SElinux som utvecklades av NSA eller hur det var?

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av =JoNaZ=
var det inte SElinux som utvecklades av NSA eller hur det var?

Jag tror det utvecklas i samarbete med NSA.
http://www.nsa.gov/selinux/

Visa signatur

There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors.

@oscar:prutt.party / monotux@freenode

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara