taki jeden znaczek

[olka]

Cześć,
problem jest taki: posiadam na dysku Slackware z wydzielonymi partycjami /home i /; posiadam też młodszą siostrę ;-)
Otóż: chciałabym zapoznać ją z linuksem od strony administrowania, ale jako że nie mam zakusów samobójczych, nie na moim systemie... Czyli doinstaluje drugiego linuksa - i tu pojawia sie problem: jak wiadomo root może wszystko, czyli przy okazji popsuć drugi system. Partycji / od Slackware nie będę w ogóle montować pod drugim systemem, ale /home byłoby wysoce wskazane, a już w ogóle optymalnie żeby /home był wspólny dla obu systemów. Czy da się jakoś ograniczyć prawa roota do zapisu/kasowania danych na partycji /home ? Wszystkie partycje są/będą na 1 fizycznym dysku, system plików: ext3.
Zaznaczam, że ewentualne zabezpieczenie tyczyć miałoby nieumyślnego usunięcia/ nadpisania danych a nie jakiś złośliwych prób złamania ograniczeń.
Drugim linuksem będzie (open) SUSE Linux 10.1

z góry dziękuję
olka

[Robert]

1. Wydaje mi się, ze najbezpieczniejszym rozwiązaniem byloby zamontowanie kieszeni dyskowej (ok 100 zł) i zamontowanie dysku z twoim slaczkiem w tej kieszeni, a na stały dac suse. i wtedy siostra bedzie mogła buszowac do woli, a nie zrobi ci krzywdy. Ograniczanie praw roota wydaje mi sie mało realne (o ile mozliwe)

2. Nie musisz siostry uczyc od razu wchodzenia na drugi dysk.

3. Na wszelki wypadek zawsze warto zrobic backup w postaci obrazu partycji/dysku.

pozdrawiam
roca

[chmooreck]

idz na calosc !!

zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w /home zrob linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:

linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...

;-)

[flejtuch]

2006-05-24 20:56:50 olka napisał:

> Cześć,
 > problem jest taki: posiadam na dysku Slackware z wydzielonymi partycjami /home i /; posiadam
 > też młodszą siostrę ;-)
 > Otóż: chciałabym zapoznać ją z linuksem od strony administrowania, ale jako że nie mam zakusów
 > samobójczych, nie na moim systemie... Czyli doinstaluje drugiego linuksa - i tu pojawia sie
 > problem: jak wiadomo root może wszystko, czyli przy okazji popsuć drugi system. Partycji / od
 > Slackware nie będę w ogóle montować pod drugim systemem, ale /home byłoby wysoce wskazane, a
 > już w ogóle optymalnie żeby /home był wspólny dla obu systemów. Czy da się jakoś ograniczyć
 > prawa roota do zapisu/kasowania danych na partycji /home ? Wszystkie partycje są/będą na 1
 > fizycznym dysku, system plików: ext3.
 > Zaznaczam, że ewentualne zabezpieczenie tyczyć miałoby nieumyślnego usunięcia/ nadpisania
 > danych a nie jakiś złośliwych prób złamania ograniczeń.
 > Drugim linuksem będzie (open) SUSE Linux 10.1
 >
 > z góry dziękuję
 > olka

Zainteresuj się tym: LIDS - Linux Intrusion Detection System.
LIDS umożliwi ci ograniczenie praw roota. np. można rootowi odciąć dostęp do /etc albo że nie będzie tam mógł zapisywać albo usuwać z takiego czy innego katalogu itp.
Do takich żeczy nie słuzy tylko LIDS, bo są też inne projekty , poczytaj sobie np o grsecurity.

[olka]

2006-05-24 21:46:43 roca napisał:

> 1. Wydaje mi się, ze najbezpieczniejszym rozwiązaniem byloby zamontowanie kieszeni dyskowej (ok
 > 100 zł)

Odpada ze względów finansowych.
Co do wchodzenia na inne partycje/dyski: uczyć to jedno, a blondynka przy komputerze to drugie Wszystko się może zdażyć...

--------------

2006-05-24 22:09:23 chmooreck napisał:

> idz na calosc !!
 >
 > zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w /home zrob
 > linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:
 >
 > linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...

Hmm, nie bardzo dostrzegam dlaczego miałoby to być bezpieczniejsze... Root nadal będzie mógł namieszać na partycji /home (slackowej). Mylę się?

---------------

2006-05-24 22:27:42 flejtuch napisał:

> Zainteresuj się tym: LIDS - Linux Intrusion Detection System.
 > LIDS umożliwi ci ograniczenie praw roota. np. można rootowi odciąć dostęp do /etc albo że nie
 > będzie tam mógł zapisywać albo usuwać z takiego czy innego katalogu itp.
 > Do takich żeczy nie słuzy tylko LIDS, bo są też inne projekty , poczytaj sobie np o grsecurity.

Dzięki poczytam :-)

--------------

Dziękuję wszystkim za pomoc
olka

[chmooreck]

2006-05-25 08:21:08 olka napisał:

 >  > zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w
 > /home zrob
 >  > linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:
 >  >
 >  > linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...
 >
 > Hmm, nie bardzo dostrzegam dlaczego miałoby to być bezpieczniejsze... Root nadal będzie mógł
 > namieszać na partycji /home (slackowej). Mylę się?

dopiero jak sie dowie, gdzie ja podmountowalas...

ew. wydziel osobna partcje na /home/siostra-blondynka i ta partycje mountuj w oby systemach...

btw... nic cie nie uchroni jak nauczy sie chrootowac ;-)

[flejtuch]

2006-05-25 09:15:22 chmooreck napisał:  
 > btw... nic cie nie uchroni jak nauczy sie chrootowac ;-)

LIDS uchroni.

[olka]

Heh, jak już napisałam zabezpieczenie ma tyczyć przypadkowego popsucia (np uruchomienia mc jako root i przeklikania się do mojego katalogu domowego na slacku - a potem będzie \\"Ja nic nie zrobiłam, samosie\\" ;-)
Żadne złośliwe zagrywki nie wchodzą absolutnie w rachubę.

Tak sobie właśnie myślę... A gdyby tak zamiast wydziwiać z montowaniem i prawami, po prostu w ogóle nie montować a skopiować część zawartości /home (Slackware) do domowego na Suse i pod Slackware zrobić skrypt, który po wydaniu komendy poweroff porównałby określone katalogi na obu systemach i ewentualne różnice przekopiował do Suse?
Co prawda jest to rozwiązanie nadmiarowe, ale wydaje mi się bezpieczniejsze.
Co o tym myślicie? I czym powinnam się zainteresować, żeby zrobić coś takiego?

pozdrawiam
olka

PS Czytam właśnie w manie do mount, że jest opcja -r (read only). Może dotyczy ona także roota? to by rozwiązywało sprawę...

[xis]

Cześć,
Mount -r załatwi sprawę do momentu mount -o remount,rw

Możesz spróbować pobawić się sudo i - zamiast na roota - pokazać siostrze działania administracyjne na innym userze (r00t, admin, czy coś takiego), a hasła roota po prostu nie dawać

[olka]

2006-05-25 11:40:09 xis napisał:

> Cześć,
 > Mount -r załatwi sprawę do momentu mount -o remount,rw

Czyli to, o co mi chodziło. Dzięki. W domu przeprowadze jeszcze testy z fstabem czy aby na pewno ;-)

pozdrawiam
olka

[chmooreck]

2006-05-25 10:38:01 olka napisał:

 > A gdyby tak zamiast wydziwiać z montowaniem i prawami, po prostu w
 > ogóle nie montować a skopiować część zawartości /home (Slackware) do domowego na Suse i pod
 > Slackware zrobić skrypt, który po wydaniu komendy poweroff porównałby określone katalogi na obu
 > systemach i ewentualne różnice przekopiował do Suse?

rsync
o ile na takie rozwiazanie bedziesz sie chciala zdecydowac....

[adkrz]

Ale to i tak wszystko na nic, jak siostra ściągnie jakieś LiveCD - a takie magiczne płytki nie trzymają się żadnych ograniczeń

[olka]

2006-05-25 17:32:41 adkrz napisał:

> Ale to i tak wszystko na nic, jak siostra ściągnie jakieś LiveCD - a takie magiczne płytki nie
 > trzymają się żadnych ograniczeń


Od razu widać, że chłopy ;-)
Jeszcze raz podkreślam, że żadne \\"hakerskie\\" zagrywki nie wchodzą w rachubę - pod tym względem mam pełne zaufanie.

Dziękuję ogromnie wszystkim za pomoc. Zastanowię się, które spośród zaproponowanych rozwiązań zastosować.

pozdrawiam
olka

[xadmi]

A gdyby tak np. wywalić np. chroot , chmod , su ..itd i zastapic te pliki (binarki) jakimś byle czym ( oczywiście robiac sobie odpowiednia kopię np. na dyskietce ) ...............
 Potencjalny włamywacz - szkodnik napotyka na opór --> nie działa  
 Trochę się rozmarzyłem hmm... nie mam czasu na experymenty , może ktoś rozwinie wątek ?
 A może ja głupoty piszę  :/
 Pozdrawiam

[xis]

Wpadł mi do głowy jeszcze jeden pomysł, ale nie wiem, czy w tej sytuacji najwygodniejszy: chodzi o montowanie systemu plików na hasło. Wiem, że jest takie coś, choć nigdy się tym nie bawiłem, a nazywa się to cudo cryptofs (http://zim.iq.pl/txt/cryptofs.txt).
Może Cię zainspiruje