Сайт | Скачать | Видео | Wiki

Автор Тема: Тест на безопасность: rm -Rf /*  (Прочитано 16613 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Фарватер

  • Почетный участник
  • Ветеран
  • *
  • Сообщений: 552
  • Репутация: +41/-0
  • Автор темы
Тест на безопасность: rm -Rf /*
« : 30 Апрель 2008, 07:26:38 »
В связи с тем, что появилась возможность работать от имени не-root пользователей, захотелось проверить, насколько теперь моя система будет защищена. Решил проверить таким тестом:

login newuser
rm -Rf /*


Как вы думаете, что после этого произошло? Экран погас, клавиатура на нажатия кнопок не реагировала.  :-X  Еще раз обращаю внимание: это не root, а самый захудалый пользователь!

Будем работать над этой проблемой.  :'(

Заодно, мне стало интересно: есть ли среди нас смелые повторить это на убунте?  ;D  ;D  ;D Сразу признаюсь - у меня не хватает мужества организовать такое побоище на своем компе с данными. Кому не хочется на убунте - предлагаю на чем-либо еще (на виндах, например  ;D ).
« Последнее редактирование: 30 Апрель 2008, 07:40:20 от Фарватер »

DdShurick

  • Гость
Re: Тест на безопасность: rm -Rf /*
« Ответ #1 : 30 Апрель 2008, 09:19:24 »
 ОС TinyMe (разновидность Мандривы )
$ rm -Rf /*
следует длинный список из строк такого вида
rm: cannot remove ' имя файла ' : Permission denied
и всё, фокус не удался - факир был в стельку пьян ;D
ИМХО. Убунту жалеть не надо - недостойна она жалости.

Оффлайн Kazm

  • Почетный участник
  • Старожил
  • *
  • Сообщений: 236
  • Репутация: +26/-0
Re: Тест на безопасность: rm -Rf /*
« Ответ #2 : 30 Апрель 2008, 10:47:13 »
ОС PuppyRus Linux 1.12
1. Загрузка с LiveCD с параметром puppy pfix=ram
2. Ничего не монтировал !!!  ;D

через несколько сек. после выполнения команды и лазания по пунктам меню - полный стоп  ;D
Ctrl-Alt-Bakspace - черный экран  ;D

чувствую, что если бы загрузил пуп_сейв - побатон колбасыил бы весь раздел  ;D
« Последнее редактирование: 30 Апрель 2008, 10:49:07 от Kazm »

Оффлайн Фарватер

  • Почетный участник
  • Ветеран
  • *
  • Сообщений: 552
  • Репутация: +41/-0
  • Автор темы
Re: Тест на безопасность: rm -Rf /*
« Ответ #3 : 30 Апрель 2008, 12:02:01 »
следует длинный список из строк такого вида
rm: cannot remove  имя файла  : Permission denied
и всё, фокус не удался - факир был в стельку пьян ;D
То, что устройства остались на месте - это, конечно радует.
Сообщения Permission denied были посланы тем, что не удалено, а то, что удалено, кануло в лету молча - сами знаете, как оно бывает в юниксах. Так что, возможно, вы еще не досчитаетесь чего-то: это, как минимум, будут персональные файлы. Но, по сравнению с puppy, конечно, неплохо :)

через несколько сек. после выполнения команды и лазания по пунктам меню - полный стоп
это, наверное, отсутствие личных файлов аукнулось

Ctrl-Alt-Bakspace - черный экран  ;D
А где наш терминал? Удалили!   ;D


DdShurick

  • Гость
Re: Тест на безопасность: rm -Rf /*
« Ответ #4 : 30 Апрель 2008, 18:13:35 »
 Фарватер, вы абсолютно правы. Все личные настройки сдуло. Но только личные.
Сейчас хочу поставить эксперимент с Puppy. Установлю PuppyRus1.12 на hda2 для чистоты эксперимента, на hda1 уже установлены Pup301 и Pup398 , и они при загрузке "подковёрно" обмениваются новыми файлами. Создам save-файл, а потом rm -Rf..... и посмотрю, что останется.

Оффлайн Фарватер

  • Почетный участник
  • Ветеран
  • *
  • Сообщений: 552
  • Репутация: +41/-0
  • Автор темы
Re: Тест на безопасность: rm -Rf /*
« Ответ #5 : 30 Апрель 2008, 18:31:20 »
Цитата
Сейчас хочу поставить эксперимент с Puppy.
Не утруждайте себя - там все очень запущено, и результат известен наперед.  :'(

DdShurick

  • Гость
Re: Тест на безопасность: rm -Rf /*
« Ответ #6 : 01 Май 2008, 19:11:36 »
 Да, результат получился вполне ожидаемый - абсолютно пустой раздел, но мне это и было нужно. Зато посмотрел на великое "Unix-проклятье" в действии и заодно выкинул из головы одну глупую идею - каждому юзеру по save-файлу. Но тут же на её место пришла другая, в стиле дяди Билла, или "прячьте спички от детей" - спрятать консоль, точнее сделать вход в консоль через отдельный пароль "для посвящённых". ИМХО - для офис-варианта это будет просто необходимо, да и проще не придумаешь.

Оффлайн Фарватер

  • Почетный участник
  • Ветеран
  • *
  • Сообщений: 552
  • Репутация: +41/-0
  • Автор темы
Re: Тест на безопасность: rm -Rf /*
« Ответ #7 : 01 Май 2008, 20:05:44 »
Цитата
глупую идею - каждому юзеру по save-файлу
Вот вот! Видите, как важно и нужно нормальное многопользовательство!

Цитата
в стиле дяди Билла, или "прячьте спички от детей" - спрятать консоль
А по-моему, стабильность, надежность и безопасность юниксов начинается именно с консоли: то, что работает в консоли - работает везде.

DdShurick

  • Гость
Re: Тест на безопасность: rm -Rf /*
« Ответ #8 : 01 Май 2008, 20:34:37 »
А по-моему, стабильность, надежность и безопасность юниксов начинается именно с консоли: то, что работает в консоли - работает везде.
Так с этим никто и не спорит. Я не про программы, а про "человеческий фактор", дураков у нас хватает, особенно на работе. "Что бы натворить, лишь бы не работать", и если готовить Puppy к серьёзной работе, то нужно предусмотреть не один уровень "защиты от дурака". Надёжность - это отсутствие поломок, а сломать легче всего покопавшись внутри.

Оффлайн Фарватер

  • Почетный участник
  • Ветеран
  • *
  • Сообщений: 552
  • Репутация: +41/-0
  • Автор темы
Re: Тест на безопасность: rm -Rf /*
« Ответ #9 : 01 Май 2008, 21:16:38 »
Цитата
дураков у нас хватает

Тогда предлагаю самый радикальный способ:

1. создать индивидуальные мусорные карзины, куда пользователи будут все перемещать вместо удаления + chmod 700 /bin/rm
Корзины будут очищаться админом лично или регулярно запускающимся скриптом.

2. Отнять права на чтение и запись всех директорий кроме $HOME, а на исполняемые файлы, которые, все же, должны это делать, поставить sgid

Оффлайн Фарватер

  • Почетный участник
  • Ветеран
  • *
  • Сообщений: 552
  • Репутация: +41/-0
  • Автор темы
Re: Тест на безопасность: rm -Rf /*
« Ответ #10 : 06 Май 2008, 14:39:21 »
Быстрое и грязное решение проблемы:

find / -type d -print0 | xargs -0 chmod -c go-w
chmod -R g+w /tmp


Первая команда запретит запись (и стирание) в каталогах для владельцев-групп и прочих пользователей, оставив это право лишь у владельцу-пользователю. Вторя команда сделает исключением временный каталог /tmp, запись валдельцев-групп в который, нужна для запуска Х.

В результате, у непревелигированных пользователей будет работать большая часть программ. Не будут работать Seamonkey, OpenOffice и, может, что-то еще. Но не так много программ пострадает.

Отсюда дальнейший путь - отслеживание и добавление дальнейших исключений.
« Последнее редактирование: 06 Май 2008, 15:38:54 от Фарватер »

Оффлайн melviX

  • Инициатор проекта
  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2096
  • Репутация: +97/-0
    • PuppyRus Linux
Re: Тест на безопасность: rm -Rf /*
« Ответ #11 : 06 Май 2008, 15:29:11 »
Наверное достаточно удалить запуск консолей из меню, с десктопа, из трея и из Rox-filer. На десктопе и в меню оставить только минимум программ. И конечно же админам рекомендовать ставить многопользование с ограничениями для юзеров.
Free software for free people

Оффлайн Фарватер

  • Почетный участник
  • Ветеран
  • *
  • Сообщений: 552
  • Репутация: +41/-0
  • Автор темы
Re: Тест на безопасность: rm -Rf /*
« Ответ #12 : 06 Май 2008, 15:41:31 »
А зачем удалять консоли? Если пользователь захочет, то он и без консолей все файлы поудаляет через ROX.

Оффлайн melviX

  • Инициатор проекта
  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2096
  • Репутация: +97/-0
    • PuppyRus Linux
Re: Тест на безопасность: rm -Rf /*
« Ответ #13 : 06 Май 2008, 15:55:58 »
Специально не удаляют, обычно. Если получится предлагаемая тобой защита, то люкс. Хотя обычные юзеры консолью не пользуются, защита "от дурака" не помешает. Только не "параноидальный уровень"  ;D
Free software for free people

Оффлайн Фарватер

  • Почетный участник
  • Ветеран
  • *
  • Сообщений: 552
  • Репутация: +41/-0
  • Автор темы
Re: Тест на безопасность: rm -Rf /*
« Ответ #14 : 06 Май 2008, 16:04:12 »
Пришла в голову мысль. Сxожу-ка на досуге в Apple-центр и проверю их компы этим тестом!  ;D ;D ;D
Какие будут прогнозы?  8)