Am Don, 04 Okt 2001, schrieb Thorsten Spätling:
Christoph Maurer schrieb:
Am Don, 04 Okt 2001, schrieb Thorsten Spätling:
ich seh schon, ich muss da nochmal was dazu sagen. mir geht's net darum dem user ein paar befehle weg zu nehmen(ich hätt' wahrscheinlich auch so missverstanden), sondern das er eben nur in seinem home-verzeichnis rumkopieren und alles mögliche machen kann. d.h. wenn er etz in der shell is:
Und was soll er dort anrichten, sich den Binärcode von /bin/ls angucken oder was? Willst Du ihm das verbieten? cat /bin/ls > ~/ls und schon hätte er sein eigenes 'ls'. oder lieg ich da falsch? hab das mal irgendwo gelesen.
Sicher, wenn Du es noch ausführbar machst, dann mach es aber wenigstens konsistent, lege ein Verzeichnis ~/bin an und in den PATH des Benutzers. Was vielleicht irgendwie geht, ist home auf rwxr-x--x zu setzen, alle anderen Verzeichnisse, für den Benutzer zu sperren, und alle, wirklich alle Programme, die er braucht, in seinem $HOME abzulegen (bei X z.B. nicht sinnvoll), die Shell dann natürlich auch und den Eintrag in /etc/passwd umbiegen. Je mehr ich darüber nachdenke, desto sinnloser finde ich's. Wenn Du Dein System supersicher machen willst, gibt es spezielle, auf Sicherheit ausgelegte Distributionen, da ist dann AFAIK der Kernel so gepatcht, daß noch nicht mal root alles darf. Aber ein x-beliebiges SuSE-System kann im Normalzustand von einem Benutzer kaum vermurkst werden, es sei denn durch Ausnutzung von Sicherheitslücken etc. Du kannst ja mal mit find (ich hoffe das geht) alle Programme suchen lassen, die das s-Bit gesetzt haben und das soweit möglich wegnehmen (Ich glaube das harden_suse Skript auf den CDs tut sowas) aber danach kannst Du es gut sein lassen... Gruß Christoph -- Christoph Maurer - Paul-Röntgen-Straße 7 - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen