Nowe posty

xx Repozytorium z czcionkami M$ (2)
Dzisiaj o 17:58:30
xx Pomoc w wyborze środowiska graficznego (11)
Wczoraj o 22:41:56
xx Usunąłem przez przypadek /bin co zrobić? (2)
Wczoraj o 21:36:24
xx Obrócony obraz lubuntu, xubuntu na lenovo Miix 320 (6)
Wczoraj o 11:56:25
xx Pierwsze kroki w Arch (9)
2022-05-22, 23:39:51
xx DBus (0)
2022-05-22, 12:47:35
xx Przedni panel (1)
2022-05-20, 01:34:35
xx Modem Medion S4222 jak zainstalować aplikację do jego obsługi? (52)
2022-05-18, 10:14:49
xx Strona o testach penetracyjnych, hackingu (33)
2022-05-18, 08:09:16
xx Nadawanie uprawnień przy kopiowaniu themes do katalogu (15)
2022-05-17, 21:18:16

Autor Wątek: taki jeden znaczek  (Przeczytany 8949 razy)

olka

  • Gość
taki jeden znaczek
« dnia: 2006-05-24, 20:56:50 »
Cześć,
problem jest taki: posiadam na dysku Slackware z wydzielonymi partycjami /home i /; posiadam też młodszą siostrę ;-)
Otóż: chciałabym zapoznać ją z linuksem od strony administrowania, ale jako że nie mam zakusów samobójczych, nie na moim systemie... Czyli doinstaluje drugiego linuksa - i tu pojawia sie problem: jak wiadomo root może wszystko, czyli przy okazji popsuć drugi system. Partycji / od Slackware nie będę w ogóle montować pod drugim systemem, ale /home byłoby wysoce wskazane, a już w ogóle optymalnie żeby /home był wspólny dla obu systemów. Czy da się jakoś ograniczyć prawa roota do zapisu/kasowania danych na partycji /home ? Wszystkie partycje są/będą na 1 fizycznym dysku, system plików: ext3.
Zaznaczam, że ewentualne zabezpieczenie tyczyć miałoby nieumyślnego usunięcia/ nadpisania danych a nie jakiś złośliwych prób złamania ograniczeń.
Drugim linuksem będzie (open) SUSE Linux 10.1

z góry dziękuję
olka

Offline Robert

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2516
    • Zobacz profil
taki jeden znaczek
« Odpowiedź #1 dnia: 2006-05-24, 21:46:43 »
1. Wydaje mi się, ze najbezpieczniejszym rozwiązaniem byloby zamontowanie kieszeni dyskowej (ok 100 zł) i zamontowanie dysku z twoim slaczkiem w tej kieszeni, a na stały dac suse. i wtedy siostra bedzie mogła buszowac do woli, a nie zrobi ci krzywdy. Ograniczanie praw roota wydaje mi sie mało realne (o ile mozliwe)

2. Nie musisz siostry uczyc od razu wchodzenia na drugi dysk.

3. Na wszelki wypadek zawsze warto zrobic backup w postaci obrazu partycji/dysku.

pozdrawiam
roca
Zanim popełnisz grafomaństwo: 1 | 2 | 3
Baza RPM Jak szukać informacji

chmooreck

  • Gość
taki jeden znaczek
« Odpowiedź #2 dnia: 2006-05-24, 22:09:23 »
idz na calosc !!

zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w /home zrob linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:

linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...

;-)

flejtuch

  • Gość
taki jeden znaczek
« Odpowiedź #3 dnia: 2006-05-24, 22:27:42 »
2006-05-24 20:56:50 olka napisał:

> Cześć,
 > problem jest taki: posiadam na dysku Slackware z wydzielonymi partycjami /home i /; posiadam
 > też młodszą siostrę ;-)
 > Otóż: chciałabym zapoznać ją z linuksem od strony administrowania, ale jako że nie mam zakusów
 > samobójczych, nie na moim systemie... Czyli doinstaluje drugiego linuksa - i tu pojawia sie
 > problem: jak wiadomo root może wszystko, czyli przy okazji popsuć drugi system. Partycji / od
 > Slackware nie będę w ogóle montować pod drugim systemem, ale /home byłoby wysoce wskazane, a
 > już w ogóle optymalnie żeby /home był wspólny dla obu systemów. Czy da się jakoś ograniczyć
 > prawa roota do zapisu/kasowania danych na partycji /home ? Wszystkie partycje są/będą na 1
 > fizycznym dysku, system plików: ext3.
 > Zaznaczam, że ewentualne zabezpieczenie tyczyć miałoby nieumyślnego usunięcia/ nadpisania
 > danych a nie jakiś złośliwych prób złamania ograniczeń.
 > Drugim linuksem będzie (open) SUSE Linux 10.1
 >
 > z góry dziękuję
 > olka

Zainteresuj się tym: LIDS - Linux Intrusion Detection System.
LIDS umożliwi ci ograniczenie praw roota. np. można rootowi odciąć dostęp do /etc albo że nie będzie tam mógł zapisywać albo usuwać z takiego czy innego katalogu itp.
Do takich żeczy nie słuzy tylko LIDS, bo są też inne projekty , poczytaj sobie np o grsecurity.

olka

  • Gość
taki jeden znaczek
« Odpowiedź #4 dnia: 2006-05-25, 08:21:08 »
2006-05-24 21:46:43 roca napisał:

> 1. Wydaje mi się, ze najbezpieczniejszym rozwiązaniem byloby zamontowanie kieszeni dyskowej (ok
 > 100 zł)

Odpada ze względów finansowych.
Co do wchodzenia na inne partycje/dyski: uczyć to jedno, a blondynka przy komputerze to drugie :D Wszystko się może zdażyć...

--------------

2006-05-24 22:09:23 chmooreck napisał:

> idz na calosc !!
 >
 > zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w /home zrob
 > linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:
 >
 > linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...

Hmm, nie bardzo dostrzegam dlaczego miałoby to być bezpieczniejsze... Root nadal będzie mógł namieszać na partycji /home (slackowej). Mylę się?

---------------

2006-05-24 22:27:42 flejtuch napisał:

> Zainteresuj się tym: LIDS - Linux Intrusion Detection System.
 > LIDS umożliwi ci ograniczenie praw roota. np. można rootowi odciąć dostęp do /etc albo że nie
 > będzie tam mógł zapisywać albo usuwać z takiego czy innego katalogu itp.
 > Do takich żeczy nie słuzy tylko LIDS, bo są też inne projekty , poczytaj sobie np o grsecurity.

Dzięki poczytam :-)

--------------

Dziękuję wszystkim za pomoc
olka

chmooreck

  • Gość
taki jeden znaczek
« Odpowiedź #5 dnia: 2006-05-25, 09:15:22 »
2006-05-25 08:21:08 olka napisał:

 >  > zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w
 > /home zrob
 >  > linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:
 >  >
 >  > linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...
 >
 > Hmm, nie bardzo dostrzegam dlaczego miałoby to być bezpieczniejsze... Root nadal będzie mógł
 > namieszać na partycji /home (slackowej). Mylę się?

dopiero jak sie dowie, gdzie ja podmountowalas...

ew. wydziel osobna partcje na /home/siostra-blondynka i ta partycje mountuj w oby systemach...

btw... nic cie nie uchroni jak nauczy sie chrootowac ;-)

flejtuch

  • Gość
taki jeden znaczek
« Odpowiedź #6 dnia: 2006-05-25, 10:13:46 »
2006-05-25 09:15:22 chmooreck napisał:  
 > btw... nic cie nie uchroni jak nauczy sie chrootowac ;-)

LIDS uchroni.

olka

  • Gość
taki jeden znaczek
« Odpowiedź #7 dnia: 2006-05-25, 10:38:01 »
Heh, jak już napisałam zabezpieczenie ma tyczyć przypadkowego popsucia (np uruchomienia mc jako root i przeklikania się do mojego katalogu domowego na slacku - a potem będzie \\"Ja nic nie zrobiłam, samosie\\" ;-)
Żadne złośliwe zagrywki nie wchodzą absolutnie w rachubę.

Tak sobie właśnie myślę... A gdyby tak zamiast wydziwiać z montowaniem i prawami, po prostu w ogóle nie montować a skopiować część zawartości /home (Slackware) do domowego na Suse i pod Slackware zrobić skrypt, który po wydaniu komendy poweroff porównałby określone katalogi na obu systemach i ewentualne różnice przekopiował do Suse?
Co prawda jest to rozwiązanie nadmiarowe, ale wydaje mi się bezpieczniejsze.
Co o tym myślicie? I czym powinnam się zainteresować, żeby zrobić coś takiego?

pozdrawiam
olka

PS Czytam właśnie w manie do mount, że jest opcja -r (read only). Może dotyczy ona także roota? to by rozwiązywało sprawę...

xis

  • Gość
taki jeden znaczek
« Odpowiedź #8 dnia: 2006-05-25, 11:40:09 »
Cześć,
Mount -r załatwi sprawę do momentu mount -o remount,rw :)

Możesz spróbować pobawić się sudo i - zamiast na roota - pokazać siostrze działania administracyjne na innym userze (r00t, admin, czy coś takiego), a hasła roota po prostu nie dawać :)

olka

  • Gość
taki jeden znaczek
« Odpowiedź #9 dnia: 2006-05-25, 11:43:38 »
2006-05-25 11:40:09 xis napisał:

> Cześć,
 > Mount -r załatwi sprawę do momentu mount -o remount,rw :)

Czyli to, o co mi chodziło. Dzięki. W domu przeprowadze jeszcze testy z fstabem czy aby na pewno ;-)

pozdrawiam
olka

chmooreck

  • Gość
taki jeden znaczek
« Odpowiedź #10 dnia: 2006-05-25, 13:36:01 »
2006-05-25 10:38:01 olka napisał:

 > A gdyby tak zamiast wydziwiać z montowaniem i prawami, po prostu w
 > ogóle nie montować a skopiować część zawartości /home (Slackware) do domowego na Suse i pod
 > Slackware zrobić skrypt, który po wydaniu komendy poweroff porównałby określone katalogi na obu
 > systemach i ewentualne różnice przekopiował do Suse?

rsync
o ile na takie rozwiazanie bedziesz sie chciala zdecydowac....

adkrz

  • Gość
taki jeden znaczek
« Odpowiedź #11 dnia: 2006-05-25, 17:32:41 »
Ale to i tak wszystko na nic, jak siostra ściągnie jakieś LiveCD - a takie magiczne płytki nie trzymają się żadnych ograniczeń :)

olka

  • Gość
taki jeden znaczek
« Odpowiedź #12 dnia: 2006-05-25, 19:46:09 »
2006-05-25 17:32:41 adkrz napisał:

> Ale to i tak wszystko na nic, jak siostra ściągnie jakieś LiveCD - a takie magiczne płytki nie
 > trzymają się żadnych ograniczeń :)


Od razu widać, że chłopy ;-)
Jeszcze raz podkreślam, że żadne \\"hakerskie\\" zagrywki nie wchodzą w rachubę - pod tym względem mam pełne zaufanie.

Dziękuję ogromnie wszystkim za pomoc. Zastanowię się, które spośród zaproponowanych rozwiązań zastosować.

pozdrawiam
olka

xadmi

  • Gość
taki jeden znaczek
« Odpowiedź #13 dnia: 2006-05-25, 20:33:30 »
A gdyby tak np. wywalić np. chroot , chmod , su ..itd i zastapic te pliki (binarki) jakimś byle czym ( oczywiście robiac sobie odpowiednia kopię np. na dyskietce ) ...............
 Potencjalny włamywacz - szkodnik napotyka na opór --> nie działa  :D
 Trochę się rozmarzyłem hmm... nie mam czasu na experymenty , może ktoś rozwinie wątek ?
 A może ja głupoty piszę  :/
 Pozdrawiam

xis

  • Gość
taki jeden znaczek
« Odpowiedź #14 dnia: 2006-05-25, 20:49:21 »
Wpadł mi do głowy jeszcze jeden pomysł, ale nie wiem, czy w tej sytuacji najwygodniejszy: chodzi o montowanie systemu plików na hasło. Wiem, że jest takie coś, choć nigdy się tym nie bawiłem, a nazywa się to cudo cryptofs (http://zim.iq.pl/txt/cryptofs.txt).
Może Cię zainspiruje :)