Bezpiecznie uruchamiaj dowolne polecenia w systemie Linux


2

Chciałbym, aby użytkownik określił listę poleceń do zbierania statystyk na temat systemu, którym jest zainteresowany. Uruchomiłbym je automatycznie w różnych scenariuszach. Nie jestem jednak pewien, jak bezpiecznie piaskownic polecenia.

Jedną z opcji byłoby noszenie białej listy dozwolonych poleceń, ale należałoby je zachować. Chciałbym być bardzo elastyczny, np. Czy w Linuksie można uruchomić dowolne polecenie z uprawnieniami do plików tylko do odczytu?

Jakie są twoje pomysły


Można mieć użytkownika, który nie jest właścicielem plików i nie może sudo, jak sądzę
Phoshi

Odpowiedzi:


3

W Gentoo znajduje się sandboxnarzędzie, które pozwala na uruchamianie programów w piaskownicy z dostępem tylko do odczytu na zewnątrz. Z powodzeniem zbudowałem go również pod Ubuntu. Źródła można pobrać tutaj .


To wygląda bardzo przydatne. Teraz, gdyby tylko mieli dokumentację.
kalaxy

@kalaxy: sandboxjest używany w Gentoo do bezpiecznego uruchamiania make installpodczas budowania pakietów, więc wiele dokumentacji znajdziesz na ten temat. Ten bugday.gentoo.org/sandbox.html wydaje się przydatny. Ulepszenie więcej (np. Dodanie selektywnej obsługi r + w devmanual.gentoo.org/function-reference/sandbox-functions/... ) wymagałoby zainstalowania dodatkowego oprogramowania Gentoo z portagenp. ebuild.shDeps from sources.gentoo.org/cgi-bin/ viewvc.cgi / portage / main / branches /…
Benjamin Bannier

2

SELinux pozwoli ci to zrobić. Możesz umieścić pliki wykonywalne w domenie z ograniczeniami lub utworzyć nową rolę z ograniczonymi uprawnieniami.


Właśnie tego szukam, niestety nie uruchamiamy SELinux.
kalaxy
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.