Сайт | Скачать | Видео | Wiki

Голосование

Как сделать PRA-roll безопаснее?

Ничего не менять. sudo для всех без пароля устраивает. run-as-nobody - опционально для перестраховки
5 (31.3%)
Сделать запуск браузеров и т.п. по умолчанию run-as-nobody, а сессию запускать от root
4 (25%)
Сделать запрос пароля для sudo
6 (37.5%)
sudo для всех без пароля. run-as-nobody для всех браузеров симлинком
0 (0%)
2 ярлыка (от live и от nobody) в 084-profile*.pfs.
1 (6.3%)

Проголосовало пользователей: 16

Автор Тема: run-as-nobody - запуск приложения от пользователя без прав  (Прочитано 33391 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Короче - куча проблем на ровном месте.
От nobody - да.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн paulus

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 1732
  • Репутация: +24/-0
На выходе реальные неудобства , усложнения и мнимая безопасность
То же самое вижу от твоего nobody, который в пра не нужен по любым соображеним. Сделай это поделие отдельным модулем и любители пусть его себе в модули кидают или подключай через меню загрузки (load=nobody), а из основной поставки для всех по умолчанию удали!!!
« Последнее редактирование: 28 Май 2018, 22:43:47 от paulus »

Оффлайн iman

  • Пользователь
  • **
  • Сообщений: 55
  • Репутация: +1/-0
    • Коран в переводе Иман Валерии Пороховой
Даже если Вас хакнули - все восстановится. Да и кому Вы нужны... с линуксом (да еще и нестандартным) , без белого ип и постоянно включенного компа
Реальный хак - перемыкают кабели провайдеров. Ничего ломать не нужно; ждут, когда информация сама проскочит.
...
Мне нравится ограничение к профилям браузеров. Браузеры должны быть отдельным ограниченным пользователем.
Еще можно ограничить межбраузерное сотрудничество созданием нескольких брауз-nobody. Например, chromium не должен иметь доступа к профилю firefox, и наоборот. Для pra - максимум.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Еще можно ограничить межбраузерное сотрудничество созданием нескольких брауз-nobody.
Можно. Создаете несколько бесправных юзеров и запускаете каждую прогу от своего юзера
Думаю это перебор

Оффлайн iman

  • Пользователь
  • **
  • Сообщений: 55
  • Репутация: +1/-0
    • Коран в переводе Иман Валерии Пороховой
firefox. Не открываются html с диска (PCManFM, ext4, с правами live:live:777). Но через меню Файл-открыть файл открывает.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
firefox. Не открываются html с диска
Какой iso?

Цитата: sfs от 30 Май 2018, 21:31:03
    переделал запуск только для тех браузеров, где поправил 083
да кому оно надо, люди своими профилями для браузера пользуются и выкинь свой nobody на помойку.
Откуда опять инфа про всех людей?

Добавил 5 пункт в голосование шапки. Переголосовал за него
По сути это тот же п.1
Проголосовавшие за п. 2 и 3: уже сделано. Юзаете? Как впечатления?
« Последнее редактирование: 01 Июнь 2018, 10:11:39 от sfs »

Оффлайн paulus

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 1732
  • Репутация: +24/-0
По сути это тот же п.1
Где пункт nobody модулем и нет проблем? Это снова надо будет сохраненку лопатить, убирая твои тройные ярлыки и симлинки?! У тебя же модульность где-то была ;)
Очень просто - выкинуть все ненужные ненужности и останется нужная нужность. Чем и занимаюсь.
В сохраненке в основном удаления твоих ненужностей, утомляет их отлавливать. В этоп плане солидарен с DdShurick

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Где пункт nobody модулем и нет проблем?
5 и есть модулем.
У тебя же модульность где-то была
Не надо извращать идею
Делать модули размером меньше чем съест памяти слой aufs для подключения этого модуля - зло
В сохраненке в основном удаления твоих ненужностей, утомляет их отлавливать. В этоп плане солидарен с DdShurick
http://forum.puppyrus.org/index.php?topic=20264.msg144149#msg144149

Онлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 6282
  • Репутация: +141/-0
переделал запуск только для тех браузеров, где поправил 083
Т.е. решил сам за всех людей, т.е. пользователей.
Как хорошо, что ты забыл про Seamonkey ))) И мне не приходится ничего выгребать.
Lenovo G500 (i3-3110M, 8 Гб, Intel + Radeon HD 8570)
PRA 16.12 JWM, Runtu 22.04 x64 XFCE

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A

Онлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 6282
  • Репутация: +141/-0
Жестко всех перевел на nobody - чтобы получить результаты тестирования ("по хорошему" плохо у нас тестируют). Получил. Поправил. Всем поучаствовавшим - спасибо. Теперь можно переделать подобрее
Ты про это?
И теперь те кому это не нужно должны вычищать сохраненку от мусора...Хотя, молодец, взбодрил немного форумчан, а то лето наступает, затишье.
Lenovo G500 (i3-3110M, 8 Гб, Intel + Radeon HD 8570)
PRA 16.12 JWM, Runtu 22.04 x64 XFCE

Онлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 6282
  • Репутация: +141/-0
И еще вопрос, почему каталог /nobody находится в хомяке пользователя live, который кстати там ничего не может, нет прав? Почему этот каталог не в /home лежит?
Lenovo G500 (i3-3110M, 8 Гб, Intel + Radeon HD 8570)
PRA 16.12 JWM, Runtu 22.04 x64 XFCE

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Чтобы live мог лазить в nobody/Загрузки как в свой
Исправил права 755 на 757

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1611
  • Репутация: +27/-1
Идея интересная, имеет право на жизнь .
Но насильно "втюхивать" юзерам ни к чему  (имхо) .
Сделать отдельным пунктиком , кому интересно - попробуют, не интересно - мимо пройдут.
И споров меньше )
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
В итоге так и планирую сделать