Ograniczenie praw roota

[lopez26]

Witam, jestem nowy i bardzo cienko u mnie z linuksem.

Mój admin mnie opuścił  na jakiś czas a muszę coś zrobić. Tylko, że nie wiem jak.

Dokladniej chodzi o routing.

Routing już jest zrobiony przez jedną kartę sieciową 10/100 ( dalej switch i dalej kompy). Internet przez Sagem USB > Neostrada.
Ale chcę dołożyć jeszcze drugą kartę sieciową Gigabitową i wykorzystać ją do komunikacji serwera z jednym tylko kompem.

Do tego ten jeden komp musi mieć internet i musi widzieć pozostałe kompy które są podpięte pod sieciówkę 10/100.
I vice versa oczywiście ( w sumie wszystkie kompy muszą się widzieć i mieć dostęp do netu )

Mogę przesłać info jak wygląda obecny routing.
Tylko, że nie wiem gdzie to jest - proszę o pomoc w zlokalizowaniu miejsca/pliku w którym są informacje/kod routingu czy też maskarady. Wiem jedynie gdzie jest plik z kodem firewalla.

Moj linux to PLD - wiecej o nim nie wiem ( jak sprawdzić wersję ? )

I teraz najwazniejsze. Kiedy przesle tu kod routingu to czy ktoś mi pomoże zrobić tak , żeby osiągnąć to o czym pisałem wyżej ?

A i jeszcze coś. Będę musiał zainstalowac sterowniki do karty sieciowej Gigabitowej. Mam sterowniki tylko nie wiem jak się to instaluje.

Kurde same problemy. A jestem cienki w te klocki ja d...a węża.

Mam nadzieję, że znajdzie się tu ktoś kto będzie miał do mnie cierpliwość. (szybko się uczę :-) )

Please Help.

Pozdrawiam.

[lopez26]

2006-05-24 23:12:26 lopez26 napisał:

> Witam, jestem nowy i bardzo cienko u mnie z linuksem.
 >
...

Widzę, że przeglądający to forum też nie grzeszą wiedzą albo im się nie chce pisać. Taki nasz p...y naród.

Trudno, sam się pomęczę.

Dziękuję za \\'pomoc\\'.

[xis]

2006-05-26 11:56:00 lopez26 napisał:

 > Widzę, że przeglądający to forum też nie grzeszą wiedzą albo im się nie chce pisać. Taki nasz
 > p...y naród.
 >
 > Trudno, sam się pomęczę.
 >
 > Dziękuję za \\'pomoc\\'.

Heh, chłopie! Jeśli szukasz całodobowego serwisu, to chyba nie ten adres. Widziałeś tu gdzieś \\'Dziś zgłoszenie - dziś odpowiedź\\'?

Wystarczyło się grzecznie przypomnieć, a nie obrażać użytkowników forum!

Za Twoją arogancję nie powinieneś dostać w ogóle odpowiedzi, nawet linka do googla

[lopez26]

2006-05-26 12:36:29 xis napisał:

 > Heh, chłopie! Jeśli szukasz całodobowego serwisu, to chyba nie ten adres. Widziałeś tu gdzieś
 > \\'Dziś zgłoszenie - dziś odpowiedź\\'?

 > Za Twoją arogancję nie powinieneś dostać w ogóle odpowiedzi, nawet linka do googla
 >

Heh, chłopie ! A zerknąłeś na daty postów które napisałem ?

Zadałem to samo pytanie na innym forum i już po 5 godzinach ktoś się odezwał i pomógł mi w dużym stopniu.

Reszta bez komentarza.

Pozdrawiam.

[olka]

Cześć,
problem jest taki: posiadam na dysku Slackware z wydzielonymi partycjami /home i /; posiadam też młodszą siostrę ;-)
Otóż: chciałabym zapoznać ją z linuksem od strony administrowania, ale jako że nie mam zakusów samobójczych, nie na moim systemie... Czyli doinstaluje drugiego linuksa - i tu pojawia sie problem: jak wiadomo root może wszystko, czyli przy okazji popsuć drugi system. Partycji / od Slackware nie będę w ogóle montować pod drugim systemem, ale /home byłoby wysoce wskazane, a już w ogóle optymalnie żeby /home był wspólny dla obu systemów. Czy da się jakoś ograniczyć prawa roota do zapisu/kasowania danych na partycji /home ? Wszystkie partycje są/będą na 1 fizycznym dysku, system plików: ext3.
Zaznaczam, że ewentualne zabezpieczenie tyczyć miałoby nieumyślnego usunięcia/ nadpisania danych a nie jakiś złośliwych prób złamania ograniczeń.
Drugim linuksem będzie (open) SUSE Linux 10.1

z góry dziękuję
olka

[Robert]

1. Wydaje mi się, ze najbezpieczniejszym rozwiązaniem byloby zamontowanie kieszeni dyskowej (ok 100 zł) i zamontowanie dysku z twoim slaczkiem w tej kieszeni, a na stały dac suse. i wtedy siostra bedzie mogła buszowac do woli, a nie zrobi ci krzywdy. Ograniczanie praw roota wydaje mi sie mało realne (o ile mozliwe)

2. Nie musisz siostry uczyc od razu wchodzenia na drugi dysk.

3. Na wszelki wypadek zawsze warto zrobic backup w postaci obrazu partycji/dysku.

pozdrawiam
roca

[chmooreck]

idz na calosc !!

zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w /home zrob linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:

linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...

;-)

[flejtuch]

2006-05-24 20:56:50 olka napisał:

> Cześć,
 > problem jest taki: posiadam na dysku Slackware z wydzielonymi partycjami /home i /; posiadam
 > też młodszą siostrę ;-)
 > Otóż: chciałabym zapoznać ją z linuksem od strony administrowania, ale jako że nie mam zakusów
 > samobójczych, nie na moim systemie... Czyli doinstaluje drugiego linuksa - i tu pojawia sie
 > problem: jak wiadomo root może wszystko, czyli przy okazji popsuć drugi system. Partycji / od
 > Slackware nie będę w ogóle montować pod drugim systemem, ale /home byłoby wysoce wskazane, a
 > już w ogóle optymalnie żeby /home był wspólny dla obu systemów. Czy da się jakoś ograniczyć
 > prawa roota do zapisu/kasowania danych na partycji /home ? Wszystkie partycje są/będą na 1
 > fizycznym dysku, system plików: ext3.
 > Zaznaczam, że ewentualne zabezpieczenie tyczyć miałoby nieumyślnego usunięcia/ nadpisania
 > danych a nie jakiś złośliwych prób złamania ograniczeń.
 > Drugim linuksem będzie (open) SUSE Linux 10.1
 >
 > z góry dziękuję
 > olka

Zainteresuj się tym: LIDS - Linux Intrusion Detection System.
LIDS umożliwi ci ograniczenie praw roota. np. można rootowi odciąć dostęp do /etc albo że nie będzie tam mógł zapisywać albo usuwać z takiego czy innego katalogu itp.
Do takich żeczy nie słuzy tylko LIDS, bo są też inne projekty , poczytaj sobie np o grsecurity.

[olka]

2006-05-24 21:46:43 roca napisał:

> 1. Wydaje mi się, ze najbezpieczniejszym rozwiązaniem byloby zamontowanie kieszeni dyskowej (ok
 > 100 zł)

Odpada ze względów finansowych.
Co do wchodzenia na inne partycje/dyski: uczyć to jedno, a blondynka przy komputerze to drugie Wszystko się może zdażyć...

--------------

2006-05-24 22:09:23 chmooreck napisał:

> idz na calosc !!
 >
 > zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w /home zrob
 > linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:
 >
 > linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...

Hmm, nie bardzo dostrzegam dlaczego miałoby to być bezpieczniejsze... Root nadal będzie mógł namieszać na partycji /home (slackowej). Mylę się?

---------------

2006-05-24 22:27:42 flejtuch napisał:

> Zainteresuj się tym: LIDS - Linux Intrusion Detection System.
 > LIDS umożliwi ci ograniczenie praw roota. np. można rootowi odciąć dostęp do /etc albo że nie
 > będzie tam mógł zapisywać albo usuwać z takiego czy innego katalogu itp.
 > Do takich żeczy nie słuzy tylko LIDS, bo są też inne projekty , poczytaj sobie np o grsecurity.

Dzięki poczytam :-)

--------------

Dziękuję wszystkim za pomoc
olka

[chmooreck]

2006-05-25 08:21:08 olka napisał:

 >  > zrob backup, nie mountuj calego /home w home/ tylko podmountuj go gdzies indziej a w
 > /home zrob
 >  > linka do katalogu siostry... niech pierwsza rzecza jaka sie nauczy bedzie:
 >  >
 >  > linux robi to co mu kazesz - i trzeba uwazac co kaze sie mu zrobic...
 >
 > Hmm, nie bardzo dostrzegam dlaczego miałoby to być bezpieczniejsze... Root nadal będzie mógł
 > namieszać na partycji /home (slackowej). Mylę się?

dopiero jak sie dowie, gdzie ja podmountowalas...

ew. wydziel osobna partcje na /home/siostra-blondynka i ta partycje mountuj w oby systemach...

btw... nic cie nie uchroni jak nauczy sie chrootowac ;-)

[flejtuch]

2006-05-25 09:15:22 chmooreck napisał:  
 > btw... nic cie nie uchroni jak nauczy sie chrootowac ;-)

LIDS uchroni.

[olka]

Heh, jak już napisałam zabezpieczenie ma tyczyć przypadkowego popsucia (np uruchomienia mc jako root i przeklikania się do mojego katalogu domowego na slacku - a potem będzie "Ja nic nie zrobiłam, samosie" ;-)
Żadne złośliwe zagrywki nie wchodzą absolutnie w rachubę.

Tak sobie właśnie myślę... A gdyby tak zamiast wydziwiać z montowaniem i prawami, po prostu w ogóle nie montować a skopiować część zawartości /home (Slackware) do domowego na Suse i pod Slackware zrobić skrypt, który po wydaniu komendy poweroff porównałby określone katalogi na obu systemach i ewentualne różnice przekopiował do Suse?
Co prawda jest to rozwiązanie nadmiarowe, ale wydaje mi się bezpieczniejsze.
Co o tym myślicie? I czym powinnam się zainteresować, żeby zrobić coś takiego?

pozdrawiam
olka

PS Czytam właśnie w manie do mount, że jest opcja -r (read only). Może dotyczy ona także roota? to by rozwiązywało sprawę...

[xis]

Cześć,
Mount -r załatwi sprawę do momentu mount -o remount,rw

Możesz spróbować pobawić się sudo i - zamiast na roota - pokazać siostrze działania administracyjne na innym userze (r00t, admin, czy coś takiego), a hasła roota po prostu nie dawać

[olka]

2006-05-25 11:40:09 xis napisał:

> Cześć,
 > Mount -r załatwi sprawę do momentu mount -o remount,rw

Czyli to, o co mi chodziło. Dzięki. W domu przeprowadze jeszcze testy z fstabem czy aby na pewno ;-)

pozdrawiam
olka

[chmooreck]

2006-05-25 10:38:01 olka napisał:

 > A gdyby tak zamiast wydziwiać z montowaniem i prawami, po prostu w
 > ogóle nie montować a skopiować część zawartości /home (Slackware) do domowego na Suse i pod
 > Slackware zrobić skrypt, który po wydaniu komendy poweroff porównałby określone katalogi na obu
 > systemach i ewentualne różnice przekopiował do Suse?

rsync
o ile na takie rozwiazanie bedziesz sie chciala zdecydowac....