Blindare Linux

[TheZeb]

Salve a tutti...
volevo sapere se esiste un modo per blindare una qualsiasi release linux in modo che gli utenti siano autorizzati ad usare solo determinati programmi o funzioni del s.o. un po come fa win2k con le group policy..
Grassie e ciao

[ilsensine]

Dividi i programmi per gruppi di accesso, con privilegi 0750 (ovvero rwxr-x---). Quindi assegni ad ogni utente i gruppi per i quali ha diritto di esecuzione.

[TheZeb]

MMMM.. ho capito...
ma non esiste nulla come applicazione ? LDAP no perchè è un bordello atomico... qualcosa di più semplice e immediato , solo per settare gli utenti locali di un pc. Ace!

[ilsensine]

Devi giocare sui permessi degli eseguibili e sui gruppi...non è affatto complicato, tieni conto che la maggioranza dei programmi possono essere eseguiti da tutti gli utenti. Per quelli "critici" (in particolare per quelli root suid) puoi applicare le limitazioni.

[ilsensine]

Tieni anche conto che per i programmi "normali" (non suid ad esempio), mettere limitazioni sull'esecuzione non è una protezione: l'utente potrebbe ricompilarsi (o scaricarsi precompilato) il programma nella sua home, ed eseguirlo (*). Questo discorso si applica anche a Windows.


(*) In realtà c'è un modo per difendersi da questo

[VICIUS]

Quote:

Originariamente inviato da ilsensine
Tieni anche conto che per i programmi "normali" (non suid ad esempio), mettere limitazioni sull'esecuzione non è una protezione: l'utente potrebbe ricompilarsi (o scaricarsi precompilato) il programma nella sua home, ed eseguirlo (*). Questo discorso si applica anche a Windows.


(*) In realtà c'è un modo per difendersi da questo

eliminare tutti i compilatori esistenti nel sistema ? oppure ti riferisci forse a quella patch del kernel che avevi postato qualche tempo fa e che faceva tanto palladium ?

ciao

[TheZeb]

Facendo così però ci metto una vita... mi servirebbe poter esportare su un file la configurazione di linux blindata per poi applicarla ad altre macchine, che di solito preparo tutte uguali.....

[ilsensine]

Basta che fai il lavoro una volta sola, poi replichi il tutto sulle altre macchine (via nfs, oppure masterizzando le directory con i programmi eseguibili su un cd...)

Quote:

Originariamente inviato da VICIUS
eliminare tutti i compilatori esistenti nel sistema ? oppure ti riferisci forse a quella patch del kernel che avevi postato qualche tempo fa e che faceva tanto palladium ?

Monti /home e /tmp con noexec...

[Ikitt_Claw]

Quote:

Originariamente inviato da ilsensine
Monti /home e /tmp con noexec...

Anche /var allora (per /var/tmp)

[VICIUS]

Quote:

Originariamente inviato da ilsensine
Monti /home e /tmp con noexec...

azz questa non la sapevo.

ciao

[ilsensine]

Quote:

Originariamente inviato da Ikitt_Claw
Anche /var allora (per /var/tmp)

/var non è user-writable; /var/tmp può essere un link a una dir in /tmp

[Ikitt_Claw]

Quote:

Originariamente inviato da ilsensine
/var/tmp può essere un link a una dir in /tmp

Avevo letto sul Linux FileSystem Hierarchy Standard che era Sconsigliabile fare una cosa del genere, se ben ricordo.

[ilsensine]

Per quale motivo?

[Ikitt_Claw]

Quote:

Originariamente inviato da ilsensine
Per quale motivo?

Il FHS dice quanto segue:

Quote:

15.1 Purpose
The /var/tmp directory is made available for programs that require temporary files or directories that are preserved between system reboots. Therefore, data stored in /var/tmp is more persistent than data in /tmp. Files and directories located in /var/tmp must not be deleted when the system is booted. Although data stored in /var/tmp is typically deleted
in a site-specific manner, it is recommended that deletions occur at a less frequent interval than /tmp. 5.16 /var/yp : Network Information Service (NIS) database files (optional) 5.16.1 Purpose Variable data for the Network Information Service (NIS), formerly known as the Sun Yellow Pages (YP), must be placed in this directory.

quindi: o si linka /var/tmp ad una sottodirectory di /tmp da trattare in modo speciale (non cancellarla tutte le volte che si ripulisce /tmp ), oppure
non e` consigliabile linkarla direttamente a /tmp.
Tutto questo se ho ben capito...

[ilsensine]

Ah ho capito. Non ho mai visto simili usi di /var/tmp però (anzi, la mia è sempre vuota) e non mi sono mai preoccupato di svuotare /tmp

Cmq invece di fare 500000 partizioni per queste directory temporanee, se proprio servono su partizioni dedicate (es. noexec), preferirei montare dei file in loopback...

[lovaz]

Confermo che all'uni usiamo /var/tmp per evitare il divieto di exec (/tmp è montata noexec) e di perdere i file per la pulitura di /tmp