Nowe posty

xx zapis klatki filmu mp4 w postaci obrazu jpg (2)
Wczoraj o 22:33:32
xx Dystrybucja do szkolnej pracowni. (6)
Wczoraj o 18:39:04
xx Jaką dystrybucje polecacie pod mój sprzęt? (1)
Wczoraj o 14:53:22
xx Thunderbird - jedna poczta na dwóch dystrybucjach (3)
Wczoraj o 12:34:56
xx Nowe forum linuxowskie (5)
Wczoraj o 11:55:40
xx zrobmikompa.pl - co myślicie o tej stronce (8)
Wczoraj o 11:44:47
xx Jaka dystrybucja pod mon sprzęt? (1)
Wczoraj o 10:52:58
xx BIOS nie widzi dysku z Linuxem (2)
2019-09-14, 10:41:31
xx Problem z antiX wersja live (0)
2019-09-12, 20:56:49
xx Serwer do Nauki (5)
2019-09-05, 07:35:50

Autor Wątek: skrypty wykonywane w crontab-ie [SElinux]  (Przeczytany 511 razy)

Offline martin1978

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 2
    • Zobacz profil
skrypty wykonywane w crontab-ie [SElinux]
« dnia: 2018-10-16, 08:56:09 »
Witam
Czy jest możliwość wykonania takiej operacji przy użyci SELinux:?
Piszę własny skrypt np. test.sh
skrypt ten tworzy plik result.
Oba pliki są zapisywane w /home/user/scirpt/
Do Crontab-a wpisuje zadanie test.sh które wykonuje się cyklicznie co dwa dni.
Pytanie:
Czy jest możliwość przypisania typu SELinux dla pliku test.sh, żeby ten skrypt test.sh tylko wykonywał crond?
Żeby nie było możliwości uruchomienia skryptu np. ./test.sh poprzez jakiegokolwiek użytkownika systemu.
Chodzi o to, aby ten skrypt test.sh mógł wykonywać/uruchamiać tylko crond.
Z góry dziękuję za odpowiedzi
Pozdrawiam

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2510
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • keybase.io/pkraszewski
Odp: skrypty wykonywane w crontab-ie [SElinux]
« Odpowiedź #1 dnia: 2018-10-16, 14:03:43 »
Podstawy SELinuksa są tu. Nie wiem, dla jakiego systemu to chcesz - w Gentoo na przykład interakcja cron-a z SE wygląda tak:
* Systemowe crony robione są z domeny system_cronjob_t
* Crony użytkowników robione są z domeny cronjob_t


Dodatkowo:
* Daemon cron jako taki działa praktycznie zawsze z UID/GID 0 (jako root), zrzucając uprawnienia do obsługi rekordów nieuprzywilejowanych.
* Skrypt zawsze możesz odpalić jako "/bin/interpreter /ścieżka/skrypt", nie jest wtedy egzekwowana obecność flagi "x", wystarczy goły "r".

Czyli docelowym modelem jest taki, żeby ograniczyć dostęp do skryptu na pełny dla właściciela, rx dla cronjob_t i figa dla pozostałych. Sam nie korzystam z SE, ale dalej powinno pójść z góry.
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline martin1978

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 2
    • Zobacz profil
Odp: skrypty wykonywane w crontab-ie [SElinux]
« Odpowiedź #2 dnia: 2018-10-17, 10:33:12 »
Działam w systemie Centos 7.4.
Dzięki, ale czytałem ten opis https://wiki.gentoo.org/wiki/SELinux/cron#cronjob_t
. I widocznie w Centos-ie jest inne nazewnictwo (SEL), bo cronjob_t nie znajduje mi go.
semanage fcontext -a -t cronjob_t /user/user/file.sh

Po wykonaniu tej komendy mówi mi że ValueError: Typ cronjob_t  jest nieprawidłowy, musi być typem pliku lub urządzenia.

Ale dzięki za pozostałem rady. Będę dalej szukał.