Форум проекта PuppyRus Linux

Дистрибутивы проекта PuppyRus Linux => PuppyRus-A [PRA] => Тема начата: sfs от 12 Апрель 2018, 11:04:13

Название: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 12 Апрель 2018, 11:04:13
В ПРА у пользователя live (от имени которого запускаются Хоrg и все остальное) права sudo на все без пароля. Т.е. по сути это тот же root (как в классическом пупи)
Это упрощает многие вещи, но небезопасно
Можно поставить в sudo запрос пароля, но вводить придется очень часто, т.к. при фругале все операции с модулями надо от root

Простое решение - запускать "опасные приложения" типа браузеров и т.п. от бесправного юзера (http://murga-linux.com/puppy/viewtopic.php?t=86526)
Никаких паролей и безопасно

В аттаче скрипт, запускать который надо от юзера live :
Код
run-as-nobody palemoon
Проверил так же ffox chromium c minirc и systemd
Он создаст  /home/live/nobody, в котором будет профиль palemoon и пр. запускаемых так приложений
Если у вас уже есть настроенный профиль - переместить в /home/live/nobody и
Код
sudo chown -R nobody /home/live/nobody
Соответственно сохранить что-то из запущенных от nobody приложений можно будет только в  /home/live/nobody
Юзер live (точнее все) имеют в /home/live/nobody права на чтение
Теоретически можно намутить и запись

Если делать такой запуск по умолчанию - надо будет переделать модули профилей браузеров 083

слетели закладки браузера (http://forum.puppyrus.org/index.php?topic=20668.0)

логично было бы запускать Х от рута (http://forum.puppyrus.org/index.php?topic=20622.msg142826#msg142826)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 12 Апрель 2018, 13:50:38
 Зачем это?? Все пользовательские программы и так запускаются от пользователя, а к системным пользователя подпускать не надо. Всегда так было. В классическом Puppy да, надо, в Richy и PRA - нет.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 12 Апрель 2018, 14:11:51
Зачем это??
В ПРА у пользователя live (от имени которого запускаются Хоrg и все остальное) права sudo на все без пароля. Т.е. по сути это тот же root
Настроить sudo будет сложнее
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 12 Апрель 2018, 17:36:37
Нет там ничего сложного.
Как минимум надо гуй с вопросом
А можно и вообще без sudo.
Как?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 12 Апрель 2018, 18:01:01
Как минимум надо гуй с вопросом
Вот этого не надо, надо просто почитать документацию и вникнуть.
Как?
Я реализовал средствами busybox.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 13 Апрель 2018, 08:49:47
https://github.com/unu/unumix/blob/master/package/ncore/etc/busybox.conf
Это некий аналог sudo : перечисление что можно всем от рута
В разрешения придется половину бинарников прописать (пол года ловить придется что недописали) . По итогу выйдет тот же рут. Урезанный чуть чуть
Нормальным решением был бы запрос пароля 1 раз. Это гуй мутить и пр. сложности непонятные новичку

run-as-nobody  - просто и наверняка.
Тогда , возможно логично было бы запускать Х от рута и выкинуть sudo...
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 13 Апрель 2018, 12:34:21
В разрешения придется половину бинарников прописать (пол года ловить придется что недописали) .
У меня всего 10 прописано.
Нормальным решением был бы запрос пароля 1 раз.
В Richy-219 у меня для этих целей loginroot на gtkdialog. Пример использования - "loginroot gparted".
выкинуть sudo...
Я уже, а вы ещё не?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 10:10:12
У меня всего 10 прописано.
В конфиге по ссылке 6. Где еще 4?
    Как минимум надо гуй с вопросом
Вот этого не надо,
В Richy-219 у меня для этих целей loginroot на gtkdialog.
Вы как-то определитесь

acl вам в помощь
можно подробнее

логично было бы запускать Х от рута и выкинуть sudo...
Подумал - реализовать просто :
1. Добавить live в админскую группу
2. В /usr/local/bin заглушку :
Код
#!/bin/ash
[ -e /usr/bin/sudo ] && exec /usr/bin/sudo "$@" || exec  "$@"
Надо попробовать....
По сути все трюки с sudo и busybox актуальны когда root и юзер - 2 разных человека
Дома такое вряд ли. Даже если и есть - проще сделать разные сохраненки
Когда root и юзер - 1 чел - получается сам себе не доверяешь - юзай тогда фругал+save.pfs. Ребут вылечит все юзерские косяки
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 16 Апрель 2018, 11:00:25
По сути все трюки с sudo и busybox актуальны когда root и юзер - 2 разных человека
Дома такое вряд ли. Даже если и есть - проще сделать разные сохраненки
Когда root и юзер - 1 чел - получается сам себе не доверяешь
А вот тут и возникает вопрос зачем тогда мы ушли от работы из под рута, как было изначально в puppy(rus), зачем нужен пользователь live, если ищем путь ухода от sudo и хотим его сделать администратором, т.е. рутом?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 11:22:55
зачем тогда мы ушли от работы из под рута
С запуском Х приложений от другого юзера разобрались только сейчас (и то тестировали мало)
Без этого как запустить chromium vlc , которые от root не запускаются?

Ну и в начале ПРа не до этого было. Как получилось (с sudo) так и юзали. Проблем хватало без этого
По большому счету - в неубиваемом фругале можно себе позволить больше. На практике - ни у кого проблем не возникало. Никого через браузер не похакали ни у нас ни в пупи...

1. Добавить live в админскую группу
Не так все просто. Например, на запись в /bin права только у юзера (не группы) root
Сделать live uid 0  - кривовато получается
Похоже автологин и хомяк надо на root переделывать

Как видишь и сейчас вопросы есть...
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 16 Апрель 2018, 12:25:30
Без этого как запустить chromium vlc , которые от root не запускаются?
А как же они в puppy(rus) запускались и работали? Да и сейчас в паппи работают, просто скрипт запуска пишется с указанием каталога, т.е. нет такой проблемы, причем давно.

А в PRA накручено с sudo и правами, причем не так как в больших линуксах и пользы от заморочек с live и sudo реальных не вижу.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 13:15:15
А как же они в puppy(rus) запускались и работали?
Не разбирался. Уж лучше один подход на все (run-as-nobody), чем с каждой прогой разбираться
в PRA накручено с sudo
Что накручено-то? Просто все разрешено
и правами
Какими?
пользы от заморочек с live и sudo реальных не вижу.
Польза только одна - теоретическая возможность настроить правильно. Актуально такое только в реально многоюзерской системе. Никто не хвастался что настроил sudo в ПРа

run-as-nobody - реальная безопасность
sudo и busybox - полумеры и неудобство
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 16 Апрель 2018, 13:46:49
run-as-nobody - реальная безопасность
Абсолютно ненужная ненужность этот ваш новый забугорный идол, да и с бородой он.
Код
# generic wrapper to run as spot (when currently running as root)
# (C) James Budiono 2012
Запасного пользователя всегда можно создать штатными средствами, только зачем?
Код
# id -u
0
# su live -c seamonkey
Пример запуска seamonkey из-под рута.
sudo и busybox - полумеры и неудобство
Это (http://narodstory.net/basni_krilov.php?id=34) не про вас?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 13:59:05
Запасного пользователя всегда можно создать штатными средствами
Он и так есть : nobody
только зачем?
Чтобы запускать из под него потенциально небезопасные приложения
Пример запуска seamonkey из-под рута.
Если Х не от live - работать не будет - надо установить переменные
Абсолютно ненужная ненужность
Ок. Давайте с начала
Как сделать нужную нужность?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 16 Апрель 2018, 14:59:55
Как сделать нужную нужность?
Очень просто - выкинуть все ненужные ненужности и останется нужная нужность. Чем и занимаюсь.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 15:30:58
логично было бы запускать Х от рута и выкинуть sudo...
В аттаче. Проверено с systemd и minirc PRA-roll
Установка :
1. Положить 089-zzz-root*.pfs в /base
2. Убедиться что в сохраненке нет /root. Не забудьте сделать сначала резервную копию.  Если есть - перенести содержимое в /home/live
Чтобы не переделывать все ДЕ - root сделан симлинком. Т.к. профиль live в каждой DE свой
только для 089-zzz-root-180112-sf01.pfs
3. Браузеры и пр. потенциально небезопасные приложения запускать
Код
run-as-nobody программа
Или сделать в /usr/local/bin :
Код
sudo ln -s /usr/local/bin/run-as-nobody-ln /usr/local/bin/программа
программа должна находиться в /usr/bin
Для palemoon - симлинк уже в 089-zzz-root*.pfs
Если для программы есть настроенный профиль - переместить его в /home/live/nobody и сделать
Код
sudo chown -R nobody /home/live/nobody

083-palemoon-profile-27.9.0_any-sf01.pfs (ftp://ftp.yandex.ru/puppyrus/roll/180101/083-palemoon-profile-27.9.0_any-sf01.pfs)  - c двумя профилями (live и nobody)
083-chrome-profile-sf10.pfs (ftp://ftp.yandex.ru/puppyrus/roll/180101/083-chrome-profile-sf10.pfs)

089-zzz-root-180112-sf02.pfs - упростил. live становится root сменой uid в /etc/passwd
Соответственно п.2 не нужен
sudo выкидывать тоже смысла нет. 300к места экономии того не стоят
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 16 Апрель 2018, 15:58:06
Т.е. теперь каталог /root становится симлинком на /home/live и... а может не надо городить никаких костылей и велосипедов, а сделать, как и большинство Live-систем с одним пользователем root ?
Когда переходили на sudo и live объясняли все борьбой за мнимую безопасность,  т.к. сам же пишешь, что sudo не настроенно и врядли кто-то заморачивался этой настройкой. За что мы вообще боремся?
В PuppyRus один только root и интересно сколько пользователей пострадало от такой "небезопасной" системы?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 16:07:59
Т.е. теперь каталог /root становится симлинком на /home/live
Временно - да
Чтобы не переделывать все ДЕ - root сделан симлинком. Т.к. профиль live в каждой DE свой

а может не надо городить никаких костылей и велосипедов, а сделать, как и большинство Live-систем с одним пользователем root ?
Уже так и сделано. live заблокирован
Прямо сейчас переделывать профили всех ДЕ желания нет
Для тестов достаточно костыля с симлинком
За что мы вообще боремся?
Удобство и безопасность
В PuppyRus один только root и интересно сколько пользователей пострадало от такой "небезопасной" системы?
По большому счету - в неубиваемом фругале можно себе позволить больше. На практике - ни у кого проблем не возникало. Никого через браузер не похакали ни у нас ни в пупи...
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 16:09:28
Мож потому и не пострадало, что прм упоминании работы от root все сразу разбегались. На том же ЛОР, например.
Теперь есть все варианты
1. live +sudo
2. root
Выбирай на вкус
А вообще фул и фругал - как две разные религии  ;)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: krasnyh от 16 Апрель 2018, 16:10:30
    acl вам в помощь

можно подробнее

Access Control List - списки контроля доступа (http://help.ubuntu.ru/wiki/access_control_list)
 Это как я понял для сисадминов, которые обслуживают
много компьютеров, и есть необходимость кого-то ограничить
в правах, а кому-то дать больше прав.

1. Положить 089-zzz-root*.pfs в /base
  Run-as-spot и отказаться от sudo?
Мне сложно принять такое. Да, как мы пользуемся sudo в PRA (без пароля) это насмешка над здравым смыслом.
Но идея с run-as-spot не добавляет безопасности. Ее цель лишь избавиться от sudo.
А с системой можно проводить любые потенциально опасные действия.
 Те же родственники по неосторожности, или внешний доступ через сеть (хотя его возможность и отрицается для PRA) .

  Может сделать как в magos, sudo через графическую утилиту с паролем.
Причем, чтобы  пароль запоминался. От часа, до целой сессии (как в gksu).
Или, кому надо, можно было отключить пароль (как и было раньше).

 
Цитата
В свое время у меня была сборка Windows XP.
Как и во всякой сборке там пользователь по умолчанию с правами администратора (а потом жалуются, что их вирусы одолели).
 Пользователь был удален и создан новый с пониженными правами (вроде с гостевыми).
Установлена программа sudo (SuRun), повышающая права через пароль, когда это требуется.
 Так же, через инструменты Windows, создан белый список расширений файлов,
которым разрешено запускаться в системе и белый список разрешенных для запуска программ.
Роутер с включенным фаерволом. (На нем прописан яндекс.DNS /Безопасный/)
В системе фаервол был отключен и удален антивирус.
 Иногда я прогонял проверку системы через dr.Web и AVZ.
  За все время использования XP у меня не было проблем с вирусами.
Хотя в интернете можно увидеть постоянные Хелп! Вирусы!

P.s.  Правда еще, с помощью ACRONIS, был создан  образ восстановления XP, после ее установки и настройки (backup.tib ). :)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 16:22:47
Access Control List - списки контроля доступа
Что это я знаю - мне не понятно чем поможет в этой теме
идея с run-as-spot не добавляет безопасности
Что может быть безопаснее запуска от пользователя без прав??? Только запуск в chroot. Можно и такое намутить с повторным монтированием сквоша. Что-то подобное есть в свежих дистрах Бари. Сложно будет для понимания
Может сделать как в magos, sudo через графическую утилиту с паролем.
Это будет лучше чем sudo без пароля и правильнее, но сделать сложнее
В соседней теме (http://forum.puppyrus.org/index.php?topic=20146.msg136886#msg136886) обсуждали и я даже написал скрипт sudoq
Пробовал тестировать - не помню уже подробностей, но были какие-то проблемы
Если интересно - пишите в ту тему
За все время использования XP у меня не было проблем с вирусами.
А за время использования ПРа даже без ухищрений - были?  ;)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: Pro от 16 Апрель 2018, 16:25:38
Это концептуальный вопрос и решаться должен был давно уже. Если будет принят курс на изменение, то это уже будет новый вариант системы
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 16:29:41
Это концептуальный вопрос и решаться должен был давно уже.
да
Если будет принят курс на изменение, то это уже будет новый вариант системы
Надо тестировать , определяться и при переходе на следующий срез арчрепы внедрять с минимум костылей и максимумом удобства и безопасности

В идеале доводить sudoq - универсальнее - подключайтесь
Никому не порекомендую full с работой под root
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 16 Апрель 2018, 16:40:19
как мы пользуемся sudo в PRA (без пароля) это насмешка над здравым смыслом.
Да. И если не изменен в сохраненке пароль root - дальше бесполезно вообще что-то делать по безопасности  :) У кого изменен... ?  ;)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 16 Апрель 2018, 21:19:07
:) У кого изменен... ? ;)
И что тут смешного? Напр., у меня.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: betcher от 17 Апрель 2018, 04:09:52
Не понял про магос и sudo, вроде нет такого. Sudo есть, гуй для его настройки включен по просьбам трудящихся, но системно не используется и нигде не рекомендуется. Для запуска с правами рута испрльзуем beesu, если надо с граф.интерфейсом. Если в консоли - обычный su. Дефолтный юзер входит в группу wheel имеет прав чуть больше остальных, даже не помню что конкретно.
По файрфоксу от бесправного юзера интересно, но не понятно как к примеру он будет работать с загрузками, ведь если есть права на запись в хомяк пользователя какой вообще смысл.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 17 Апрель 2018, 09:23:32
И что тут смешного? Напр., у меня.
То что только у тебя. Заморачиваеися сложными вещами, а простые не сделаны
Sudo есть, гуй для его настройки включен по просьбам трудящихся,
Самодельный? на чем написан? Пакетом есть?
Для запуска с правами рута испрльзуем beesu, если надо с граф.интерфейсом.
http://dl.fedoraproject.org/pub/fedora/linux/releases/26/Everything/x86_64/os/Packages/b/beesu-2.7-29.fc26.x86_64.rpm
Т.е. sudo в магос нет? А где там гуй? Я так понял beesu - легкий консольный заменитель sudo (дает возможность в его конфиге разрешить только перечисленное)
По файрфоксу от бесправного юзера интересно, но не понятно как к примеру он будет работать с загрузками, ведь если есть права на запись в хомяк пользователя какой вообще смысл.
Стандартно. Загружает в свой хомяк (расположить можно где угодно). На запись в чужие хомяки прав не имеет. Да практически никаких прав не имеет
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 17 Апрель 2018, 09:29:48
какой вообще смысл.
Никакого. Вот здесь (https://habrahabr.ru/post/44783/) объясняется смысл sudo. Вывод: в однопользовательской системе - излишество. Достаточно su (gksu) и правильных /etc/passwd и /etc/group.
На запись в чужие хомяки прав не имеет.
А они в однопользовательской системе есть? Думай, голова.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 17 Апрель 2018, 10:10:37
А они в однопользовательской системе есть?
Во всех линуксах на все хомяки запись только у хозяина
Борьба с sudo даст 350к экономии места - больше никаких плюсов
Из всех (su beesu busubox) - sudo самая продвинутая. Смысл с ней бороться?
По Вашей ссылке это и написано : su - неправильно

При любой защите надо четко понимать : что и от кого защищаем
1. От "внутреннего" юзера (имеет физический доступ к компу) можно гарантированно защититься только шифрованием.
Без шифрования все пароли можно сбросить. или получить доступ, загрузившись в систему с флэшки и т.п.
Т.е. все из шапки не про это
2. Внешний хакер.
Наиболее просто получить доступ через сервис , открывший порт на белом ip
Если Вы за NAT роутера - уже сложнее

Наиболее вероятно получить доступ через дырявое приложение. Например браузер
Соответственно в самом плохом случае можно получить права юзера, от которого запущено дырявая прога
Соответственно запуск таких прог от юзера без прав дает хорошую перестраховку

Это теория. На практике хакерам линукс дектопы мало интересны. Их мало. Вариантов линукса много
Наиболее вероятно что-то подцепить - установив руками какое-то паленое дополнение к браузеру или типа того
От этого все из шапки не поможет
Ну и бэкапы своих файлов тоже никто не отменял
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 18 Апрель 2018, 16:18:40
Доработал run-as-nobody.gz (приаттачен в шапке темы): копирует настройки оформления gtk* qt*
Упростил 089-zzz-root-180112-sf02.pfs  (http://forum.puppyrus.org/index.php?topic=20622.msg142826#msg142826) подробности там же
Универсально (live+nobody) переделал профиль palemoon - подробности там же выше

По итогу планирую написать в вики про 3 модели безопасности из шапки и на этом закончить
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 18 Апрель 2018, 17:20:33
По итогу планирую написать в вики про 3 модели безопасности из шапки и на этом закончить
написал (http://wiki.puppyrus.org/puppyrus/pra-roll?&#%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C)
run-as-nobody добавлю в 089
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: knn от 18 Апрель 2018, 19:39:56
Если делать такой запуск по умолчанию - надо будет переделать модули профилей браузеров 083
  Может в относительно отдаленной перспективе "переделать модули профилей браузеров 083" - "для запуска на выбор(из меню)" --пр.: "меню" -> "и-нет" -->> "браузер--live" и "браузер--nobody".
  А  "запуск браузера по-дефолту" пока ("на время?") оставить "live"?(если технически возможно)

p.s. А приложения(не браузеры) - потом "подтянуть?
pps: 
Да. И если не изменен в сохраненке пароль root - дальше бесполезно вообще что-то делать по безопасности  :) У кого изменен... ?  ;)
изменены  :)
=> может там, "где в вики про 3 модели безопасности" дать ссылки на "как менять пароли".
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 19 Апрель 2018, 09:23:57
"переделать модули профилей браузеров 083" - "для запуска на выбор(из меню)" --пр.: "меню" -> "и-нет" -->> "браузер--live" и "браузер--nobody".
Это можно сделать доп. ярлыком... Только юзать то от live то от nobody смысла нет. Надо 1 раз определиться
приложения(не браузеры) - потом "подтянуть?
Пока не знаю что бы еще , кроме браузеров, запускать от nobody ... transmission?
дать ссылки на "как менять пароли".
Дал. И в меню есть гуй
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: knn от 19 Апрель 2018, 11:41:31
Только юзать то от live то от nobody смысла нет. Надо 1 раз определиться
Цитата: knn от Вчера в 19:39:56

    приложения(не браузеры) - потом "подтянуть?

Пока не знаю что бы еще , кроме браузеров, запускать от nobody ...
  Подразумевались моменты, когда браузеры запускаются из других приложений.
  Например, часто "запускаю браузер" гиперссылками из MyTetr(~ы).
Также, как минимум, "занимаются открытием" Оффисные приложения.
  Плохо себе представляю технологию "таких запусков" с т. зр. "системы. И применительно к "nobody-технологии :)" .
Не унаследует ли процесс и ....прочее...
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: knn от 19 Апрель 2018, 12:02:23
Плохо себе представляю технологию "таких запусков" с т. зр. "системы.
Пр.: когда-то делал профиль-паленума с двумя профилями внутри => не глобально, но что-то было "не совсем так" в "увязке с MyTetr(ой)".
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 19 Апрель 2018, 12:49:03
Подразумевались моменты, когда браузеры запускаются из других приложений.
sudo ln -s /usr/local/bin/run-as-nobody-ln /usr/local/bin/программа
полное решение проблемы везде
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 20 Апрель 2018, 10:15:36
Цитата
Предпочитаю фругал, но смонтированы другие разделы, поэтому - второй вариант.
Ну так смонтируйте с правами для live или юзайте ФМ от root

Кто проголосовал за пароль (вар.2) - Вы теоретически или попробовали. Не запарились вводить пасс?

Добавил 4 вариант и проголосовал за него. Средний вариант между запарами с паролем и безопасностью. Переключается созданием удалением симлинка
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 20 Апрель 2018, 10:28:24
Не запарились вводить пасс?
Нет. Только Gparted требует. Теоретически пароль рута требуеися для настройки сети, но у меня автоматом.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 20 Апрель 2018, 10:38:18
Я спрашивал про ПРА-ролл
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: knn от 20 Апрель 2018, 11:00:15
Только Gparted требует.
Я спрашивал про ПРА-ролл
многова-то вводить приходится
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 20 Апрель 2018, 11:15:45
многова-то вводить приходится
То то и оно
Боюсь, если заморачиваться sudoq - придется серьезно лопатить свои скрипты
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: knn от 20 Апрель 2018, 11:54:54
  Пользуюсь ПРА с некоторыми своими изменениями. Эти изменения стараюсь вносить "беболезненно для системы"/"не отрываюсь от ветки". Т. е. пр.: --немного по-другому располагаю каталоги на носителе; --upatch-скрипты-"что-то правят на сеанс,потом затирают/"возвращают первонач."); --симлинки; --...
  => пока голос=п.1.( --"run-as-nobody - опционально" - это отдельным модулем/или стартом скрипта/или...?)
 
  "Сделать запрос пароля для sudo" - можно пока применять модулем(есть же выложенный - может его и подработает-кто).
  Думается - если есть возможность, то может пока "обкатать" предстоящие изменения "в мягких(для нынешней системы) вариантах".
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 21 Апрель 2018, 08:54:42
-"run-as-nobody - опционально" - это отдельным модулем/или стартом скрипта/или...?
1. Это значит run-as-nobody в дистре есть, а симлинки или поправить ярлыки - самостоятельно
4. Уже сделаны симлинки.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 21 Апрель 2018, 11:06:52
Надо добавить nobody в группу sound - иначе в браузере нет звука
Название: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: iman от 20 Май 2018, 13:39:03
И нет читаемых шрифтов, и нет pra-курсора.
Название: Re: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: sfs от 21 Май 2018, 09:29:17
И нет читаемых шрифтов, и нет pra-курсора.
В исо все ок. Без сохраненки пробовали?
Можно подробнее
Название: Re: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: iman от 25 Май 2018, 08:37:55
И нет читаемых шрифтов, и нет pra-курсора.
В исо все ок. Без сохраненки пробовали? Можно подробнее
Проверил и без save. Не работают антиалиасинг и хинтинг (Внешний вид шрифта v.160820).
На firefox без nobody влияет. С nobody отключение/включение хинтинга не влияет(выключен), антиалиасинг работает.
...
midlle x32 (001-Pra-3.0-sf24.pfs)
Название: Re: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: sfs от 25 Май 2018, 09:29:45
"Внешний вид шрифта v.160820" - этот скрипт изменяет ~/.Xresources
Не работают антиалиасинг и хинтинг На firefox без nobody влияет.
Так работает или нет...?
Чтобы эти настройки отразились на приложения, запущенные от nobody - сделайте sudo ln -s /home/live/.Xresources /home/live/nobody/.Xresources

midlle не поддерживается. В ретро у кого-нибудь эти проблемы есть?
Название: Re: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: RoDoN от 25 Май 2018, 09:46:35
Чтобы эти настройки отразились на приложения, запущенные от nobody - сделайте sudo ln -s /home/live/.Xresources /home/live/nobody/.Xresources
1. Зачем здесь sudo?
2. Очередные манипуляции, о которых не каждый догадается.
3. Сам nobody не пользуюсь, но читаю форум и не пойму, зачем все эти танцы с бубном, только лишние заморочки (ИМХО) (сорри за офтоп)

midlle не поддерживается. В ретро у кого-нибудь эти проблемы есть?
А в чем для работы программ такая уж большая разница, если ретро основан на мидл?
Название: Re: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: sfs от 25 Май 2018, 09:49:30
1. Для перестраховки
3. Для перестраховки. Я юзаю. Отключаемо
Название: Re: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: RoDoN от 25 Май 2018, 09:54:47
Отключаемо
Наверно лучше было бы "Подключаемо"
Перестраховка... ну-ну
Название: Re: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: sfs от 25 Май 2018, 09:57:42
А в чем для работы программ такая уж большая разница, если ретро основан на мидл?
Не знаю. Если есть желающие заняться поддержкой мидл - я только ЗА
Название: Re: PRA03. Не работают антиалиасинг и хинтинг
Отправлено: iman от 25 Май 2018, 14:18:50
"Внешний вид шрифта v.160820" - этот скрипт изменяет ~/.Xresources
Не работают антиалиасинг и хинтинг На firefox без nobody влияет.
Так работает или нет...?
Чтобы эти настройки отразились на приложения, запущенные от nobody - сделайте sudo ln -s /home/live/.Xresources /home/live/nobody/.Xresources

midlle не поддерживается. В ретро у кого-нибудь эти проблемы есть?
Без nobody всё работает.
Предложенный вариант не решает проблемы.
Вы посмотрите на разрешениях 1024x768 и меньше.
...
Появляется .Xauthority, то-есть новый пользователь nobody авторизуется в иксах? Может здесь проблема?
...
НАШЁЛ РЕШЕНИЕ:
ln -s /home/live/.config/fontconfig /home/live/nobody/.config/fontconfig
ln -s /home/live/.icons /home/live/nobody/.icons
А вообще по хорошему, либо все настройки дублировать в nobody, либо на всё повесить линки.
...
nobody - это костыль для систем, в которых каждое приложение является отдельным пользователем.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 25 Май 2018, 16:16:56
А вообще по хорошему, либо все настройки дублировать в nobody, либо на всё повесить линки.
Все. Сделаю ln -s /home/live/.config /home/live/nobody/.config
Спасибо +

Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 25 Май 2018, 16:32:46
Сделаю ln -s /home/live/.config /home/live/nobody/.config
в аттаче
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 25 Май 2018, 16:54:52
Все. Сделаю
А оно надо?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 25 Май 2018, 17:04:06
Что "оно" ?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 25 Май 2018, 18:36:26
Что "оно" ?
Да всё это...
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 26 Май 2018, 09:09:25
Не надо - не юзайте. Как отключить написано в вики
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 26 Май 2018, 10:31:49
Если мне не нужен этот третий пользователь в системе, почему я же еще должен искать в вики, как его отключить? При старте мне выбор не предоставляется, этот нободи идет из коробки, в результате два профиля браузера в хомяке и после этого ты говоришь, что это опционально ))) Опционально - это то, что можно подключить при необходимости, а не искать способ отрубить.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 26 Май 2018, 12:22:28
 Насколько я помню, всё началось отсюда (http://murga-linux.com/puppy/viewtopic.php?t=86526). В "классическом" Puppy это имеет смысл, но не в Richy и PRA. Пора прекращать необдуманно идолопоклонничать перед западом, sfs.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: I-Jurij от 26 Май 2018, 21:14:46
Просто нужно определиться, что в дистрибутиве важнее: простота в освоении, пользовании или защищенность.
Во фругал-дистре, да еще и домашнем, особые заморочки не особо как-то.
Для тех, кому важно - написать прямо во время первой загрузки: не рассчитывайся через браузер пока не сделал то-то и то-то.
Как-то так.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: Pro от 27 Май 2018, 02:23:30
Разработчик уже определился.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 27 Май 2018, 09:12:37
В "классическом" Puppy это имеет смысл, но не в Richy и PRA
Почему?
Разработчик уже определился.
Для себя - да. Юзаю
В дистр по умолчанию планирую : 2 ярлыка в меню. Который с nobody - по дефолту откроет страницу с вики про него
Есть другие идеи - пишите
Жестко всех перевел на nobody - чтобы получить результаты тестирования ("по хорошему" плохо у нас тестируют). Получил. Поправил. Всем поучаствовавшим - спасибо. Теперь можно переделать подобрее
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 27 Май 2018, 11:25:11
Почему?
Потому что правильнее разобраться с sudoers (или с busybox.conf), а не делать из live привилегтрованного юзера и добавлять неразбериху с nobody.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 27 Май 2018, 11:43:54
Полностью согласен с DdShurick, что надо бы настроить sudo, чем городить огород из костылей. ИМХО, но пользователь nobody оправдан в системе работающей только из-под рута, но в системе, где есть обычный пользователь он лишний. В начале темы я уже задавал вопрос (http://forum.puppyrus.org/index.php?topic=20622.msg142819#msg142819) оправданности существования пользователя live и внятного ответа не было, как и не вижу внятного обоснования существования nobody в домашней системе с одним пользователем.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: paulus от 27 Май 2018, 20:13:12
Полностью согласен с DdShurick, что надо бы настроить sudo, чем городить огород из костылей.
Тут все об этом и говорят, но sfs просто упоротый в хлам. imho
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 27 Май 2018, 20:33:38
просто упоротый в хлам.
Ничего, воспитаем...
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 28 Май 2018, 10:41:05
правильнее разобраться с sudoers (или с busybox.conf), а не делать из live привилегтрованного юзера и добавлять неразбериху с nobody.
Мне кажется это будет сложнее.
По итогу в конфиге sudo окажется разрешение почти всего (что сейчас и так имеем)
Если запрашивать пароль - это будет слишком часто
Жду от желающих настроенного конфига sudo на базе http://wiki.puppyrus.org/puppyrus/pra-roll#sudo
Или свой вариант
Сам ближайшее время этим заниматься не буду. Делаю ролл1806
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 28 Май 2018, 12:36:41
Мне кажется это будет сложнее.
Это как посмотреть: или разобраться как следует одному и не дурить остальным голову, или каждый в этот маразм въезжает сам.
По итогу в конфиге sudo окажется разрешение почти всего
Требуется не так уж и много.
Жду от желающих настроенного конфига sudo
В Richy-219 хватало этого (/etc/sudoers) :
Код
User_Alias WHEEL_USERS = %wheel
%wheel ALL = NOPASSWD: /bin/busybox reboot, /bin/busybox poweroff, /bin/busybox losetup, /bin/busybox losetup -f, /bin/mount, /bin/umount, /bin/mkdir, /bin/rmdir, /bin/ntfs-3g, /sbin/blkid
В Richy-64 использую средства busybox.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 28 Май 2018, 13:05:46
Требуется не так уж и много.
У меня не мало копирования от юзера в системные каталоги
Если разрешить  cp mv ln - получится:
По итогу в конфиге sudo окажется разрешение почти всего (что сейчас и так имеем)
Кто попробует с конфигом Дяди Шурика - отпишитесь
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 28 Май 2018, 15:17:14
У меня не мало копирования от юзера в системные каталоги
Но это ж не правильно, во всех линуксах в системные каталоги имеет право копировать только суперюзер и никто больше... или я что-то не понимаю?
Если делать такие разрешения для пользователя live, то это уже будет тот же рут, только чуть-чуть обрезанный, а смысл?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 28 Май 2018, 16:46:35
Но это ж не правильно, во всех линуксах в системные каталоги имеет право копировать только суперюзер и никто больше... или я что-то не понимаю?
Заходим на второй круг обсуждения. Краткое содержание предыдущих серий:
При любых заморочках с безопасностью надо четко понимать что и от кого мы защищаем

Когда админ и юзер - 1 чел. - по любому ты root и сам от себя паролями не защитишься
Это я про настроенное sudo и ввод пароля на каждый чих

Какие -то теоретические проблемы не от себя любимого (практических фактов не зафиксировано) можно получить из инета. Наиболее вероятно = через браузер. Вот эту проблему и решает nobody

Чтобы убрать sudo cp и т.п. - надо перенести их на стадию до логина юзера. Все туда не перенести.
Сразу проблемы . Иногда это гуй, а Х еще не запущен.
Нужна управлялка. Как ее запускать - опять sudo ? - ну и кого обманываем...
Без systemd - Xorg запуcкается только от root - с этим что делать

Короче - куча проблем на ровном месте. На выходе реальные неудобства , усложнения и мнимая безопасность
nobody - поправил профиль браузера и хоть какая-то защита есть
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 28 Май 2018, 18:32:23
На выходе реальные неудобства , усложнения и мнимая безопасность
Это все в полной мере относится ко всем сборкам PRA с пользователем live, поскольку эти системы ничуть не безопасней сборок Puppy(Rus), где пользователь только root.

Какие -то теоретические проблемы не от себя любимого (практических фактов не зафиксировано) можно получить из инета. Наиболее вероятно = через браузер.
Хотелось бы примеров проблем, но практических фактов не зафиксировано!!!
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 28 Май 2018, 18:48:36
поскольку эти системы ничуть не безопасней сборок Puppy(Rus), где пользователь только root.
Я нигде не говорил, что PRA безопаснее PR. sudo в PRA по ходу жизни нарисовалось.
Хочешь root - юзай (http://wiki.puppyrus.org/puppyrus/pra-roll#%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0_%D0%BF%D0%BE%D0%B4_root_%D0%BA%D0%B0%D0%BA_%D0%B2_puppy)
Только придется решать проблемы незапуска некоторых прог от root (например chromium vlc ...)
Т.е. опять nobody  ;)
Хотелось бы примеров проблем, но практических фактов не зафиксировано!!!
Ну так я про это и пишу. Тема религиозная . Веришь что тебя обезопасит ... (нужное подчеркнуть) - юзай. Можно иконки на комп повесить или презерватив одеть  - "обезопасит" одинаково  :D Оговорюсь - все написанное - про домашний фругал, а не про линукс вообще (сервера, например)

Нет практических примеров. Главный враг юзера - сам юзер. Точнее - его безграмотность
Юзайте фругал и RO сохраненку. Бэкапте файло на облака. Даже если Вас хакнули - все восстановится. Да и кому Вы нужны... с линуксом (да еще и нестандартным) , без белого ип и постоянно включенного компа
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 28 Май 2018, 19:29:25
Короче - куча проблем на ровном месте.
От nobody - да.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: paulus от 28 Май 2018, 22:34:52
На выходе реальные неудобства , усложнения и мнимая безопасность
То же самое вижу от твоего nobody, который в пра не нужен по любым соображеним. Сделай это поделие отдельным модулем и любители пусть его себе в модули кидают или подключай через меню загрузки (load=nobody), а из основной поставки для всех по умолчанию удали!!!
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: iman от 29 Май 2018, 00:06:19
Даже если Вас хакнули - все восстановится. Да и кому Вы нужны... с линуксом (да еще и нестандартным) , без белого ип и постоянно включенного компа
Реальный хак - перемыкают кабели провайдеров. Ничего ломать не нужно; ждут, когда информация сама проскочит.
...
Мне нравится ограничение к профилям браузеров. Браузеры должны быть отдельным ограниченным пользователем.
Еще можно ограничить межбраузерное сотрудничество созданием нескольких брауз-nobody. Например, chromium не должен иметь доступа к профилю firefox, и наоборот. Для pra - максимум.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 29 Май 2018, 09:23:42
Еще можно ограничить межбраузерное сотрудничество созданием нескольких брауз-nobody.
Можно. Создаете несколько бесправных юзеров и запускаете каждую прогу от своего юзера
Думаю это перебор
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: iman от 01 Июнь 2018, 05:04:28
firefox. Не открываются html с диска (PCManFM, ext4, с правами live:live:777). Но через меню Файл-открыть файл открывает.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 01 Июнь 2018, 09:56:38
firefox. Не открываются html с диска
Какой iso?

Цитата: sfs от 30 Май 2018, 21:31:03
    переделал запуск только для тех браузеров, где поправил 083
да кому оно надо, люди своими профилями для браузера пользуются и выкинь свой nobody на помойку.
Откуда опять инфа про всех людей?

Добавил 5 пункт в голосование шапки. Переголосовал за него
По сути это тот же п.1
Проголосовавшие за п. 2 и 3: уже сделано (http://wiki.puppyrus.org/puppyrus/pra-roll#%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C). Юзаете? Как впечатления?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: paulus от 01 Июнь 2018, 10:14:53
По сути это тот же п.1
Где пункт nobody модулем и нет проблем? Это снова надо будет сохраненку лопатить, убирая твои тройные ярлыки и симлинки?! У тебя же модульность где-то была ;)
Очень просто - выкинуть все ненужные ненужности и останется нужная нужность. Чем и занимаюсь.
В сохраненке в основном удаления твоих ненужностей, утомляет их отлавливать. В этоп плане солидарен с DdShurick
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 01 Июнь 2018, 10:20:57
Где пункт nobody модулем и нет проблем?
5 и есть модулем.
У тебя же модульность где-то была
Не надо извращать идею
Делать модули размером меньше чем съест памяти слой aufs для подключения этого модуля - зло
В сохраненке в основном удаления твоих ненужностей, утомляет их отлавливать. В этоп плане солидарен с DdShurick
http://forum.puppyrus.org/index.php?topic=20264.msg144149#msg144149
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 01 Июнь 2018, 11:59:07
переделал запуск только для тех браузеров, где поправил 083
Т.е. решил сам за всех людей, т.е. пользователей.
Как хорошо, что ты забыл про Seamonkey ))) И мне не приходится ничего выгребать.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 01 Июнь 2018, 12:30:24
Т.е. решил сам за всех людей, т.е. пользователей.
http://forum.puppyrus.org/index.php?topic=20622.msg143986#msg143986
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 01 Июнь 2018, 12:36:40
Жестко всех перевел на nobody - чтобы получить результаты тестирования ("по хорошему" плохо у нас тестируют). Получил. Поправил. Всем поучаствовавшим - спасибо. Теперь можно переделать подобрее
Ты про это?
И теперь те кому это не нужно должны вычищать сохраненку от мусора...Хотя, молодец, взбодрил немного форумчан, а то лето наступает, затишье.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: RoDoN от 01 Июнь 2018, 13:18:28
И еще вопрос, почему каталог /nobody находится в хомяке пользователя live, который кстати там ничего не может, нет прав? Почему этот каталог не в /home лежит?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 01 Июнь 2018, 13:43:31
Чтобы live мог лазить в nobody/Загрузки как в свой
Исправил права 755 на 757
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 01 Июнь 2018, 14:02:04
Идея интересная, имеет право на жизнь .
Но насильно "втюхивать" юзерам ни к чему  (имхо) .
Сделать отдельным пунктиком , кому интересно - попробуют, не интересно - мимо пройдут.
И споров меньше )
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 01 Июнь 2018, 14:27:29
В итоге так и планирую сделать
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: paulus от 02 Июнь 2018, 14:34:37
Сделать отдельным пунктиком , кому интересно - попробуют, не интересно - мимо пройдут.
Нафиг наши пунктики, так как это поделие не уберешь так хотя бы МОДУЛЕМ сделай! Что бы не надо было выгребать, а просто удалить модуль! Или модульность уже не в почете? Зачем мне сохраненку править, там и так удалений больше, чем настроек?! Какого в меню будет еще 200 пунктов на браузеры и дубликаты симлинков. В пра удалил симлинки, но в сохраненку видимо не правильно прописал это и ваше безтельноегавно вернулось назад. C changes prar с этим легче, но все равно тот же гемор в который пра постепенно все больше превращается :(
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 09 Июнь 2018, 15:23:24
roll/180101/083-palemoon-profile-27.9.2_any-sf01.pfs
roll/180101/089-prar-upd-180101-sf28.pfs run-as-nobody переделал на вариант 4 из шапки
остальные профили чуть позже
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 09 Июнь 2018, 16:03:45
ssh -XYC spot@127.0.0.1 firefox
делает тоже самое
(вместо firefox любой другой браузер(прога))
что интересно, профиль spot`a абсолютно пустой, только только создан adduser
если лень постоянно вводить пароль spot`a, можно ssh настроить на вход по ключу, а не по паролю(это еще и безопаснее)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 10 Июнь 2018, 10:29:44
ssh -XYC spot@127.0.0.1 firefox
Только надо запустить ssh сервер и тратить ресурсы на шифрование трафика

Сделаю ln -s /home/live/.config /home/live/nobody/.config
погорячился. Там же конфиги браузеров
Переделал на
ln -s /home/live/.config/fontconfig /home/live/nobody/.config/fontconfig
ln -s /home/live/.icons /home/live/nobody/.icons
залил 089 для пра03 1801 1806
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 10 Июнь 2018, 12:30:04
Только надо запустить ssh сервер и тратить ресурсы на шифрование трафика
Это да.
Но расходы невелики ведь.
Ради безопасности нежалко потратить несколько мегабайт оперативки и пол-процента CPU.
ПыСы
не агитирую, просто один из вариантов
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: paulus от 11 Июнь 2018, 08:43:08
run-as-nobody переделал на вариант 4 из шапки
И зачем голосовалку делал, если все равно лепишь так как хочется тебе? ;)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 12 Июнь 2018, 10:50:49
4 вариант переделан на 5 (который по сути ничем не отличается от 1)
2 и 3 описаны в вики и хоть как-то протестированы
что не так?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: DdShurick от 12 Июнь 2018, 11:00:06
что не так?
Ненужная ненужность.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 12 Июнь 2018, 11:01:40
Все варианты есть. Каждый решит для себя про нужность. Я юзаю nobody
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 08 Август 2018, 09:26:33
не хватало возможности сохранения страниц. Выяснилось, что с этим как-то связан режим nobody. Убрал его из профиля, теперь нормально.
Т.к. браузер запущен от nobody - сохранить можно только в каталоги, доступные ему на запись, т.е. в /home/live/nobody
Или дать на любой нужный Вам каталог права на запись nobody
Добавил в вики (http://wiki.puppyrus.org/puppyrus/pra-roll?&#run-as-nobody_-_%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D0%BA_%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%BE%D1%82_%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F_%D0%B1%D0%B5%D0%B7_%D0%BF%D1%80%D0%B0%D0%B2)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: paulus от 09 Август 2018, 23:31:23
Добавил в вики
Нагородил "Ненужная ненужность" и написал об этом роман.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: krasnyh от 30 Май 2019, 15:37:21
Волна вредоносных дополнений в каталоге Firefox, прикрывающихся Adobe Flash (https://www.opennet.ru/opennews/art.shtml?num=50775)
При установке дополнения запрашивают полномочия для доступа ко всем данным просматриваемых сайтов. В процессе работы запускается кейлоггер, который передаёт на хост theridgeatdanbury.com сведения о заполнении форм и устанавливаемых Cookie. Имена установочных файлов дополнений имеют вид "adpbe_flash_player-*.xpi" или "player_downloader-*.xpi". Код скриптов внутри дополнений незначительно отличается, но выполняемые ими вредоносные действия очевидны и не скрываются


А nobody как-то может помешать вредоносным действиям этих расширений? Или вопрос по другому - в данной конкретной ситуации, nobody проявил бы себя с положительной стороны?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 30 Май 2019, 15:47:55
А nobody как-то может помешать вредоносным действиям этих расширений? Или вопрос по другому - в данной конкретной ситуации, nobody проявил бы себя с положительной стороны?
запуск браузера от live и nobody отличается только местом хранения профилей и .. и все )
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: krasnyh от 30 Май 2019, 15:54:00
.. и все
Нет, если попробовать что-то скачать через браузер (nobody), то он не позволит сохранить из-за недостатка прав.
Вроде можно только в /home/live/Загрузки, не помню.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 30 Май 2019, 15:57:31
Нет, если попробовать что-то скачать через браузер (nobody), то он не позволит сохранить из-за недостатка прав.
естественно
это аксиома :) упоминать не стал
в хомяк nobody( не лайва ) разрешит сохранять, ну или сохранять туда где ему запись разрешена
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 30 Май 2019, 15:59:54
не позволит сохранить из-за недостатка прав.
И запустить с правами рута
запускается кейлоггер, который передаёт на хост theridgeatdanbury.com сведения о заполнении форм и устанавливаемых Cookie.
Если кейлоггер нужно было запускать от рута - поможет
Но скорее всего все работает вниури ффокса. Поэтому в этой ситуации - не помог бы

Но это не значит, что нельзя сделать вредоносное дополнение, которое все удалит и зашифрует (если получит права)
Или еще проще - скачать что-то и автооткрыть с правами рута
В таких случаях поможет
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 30 Май 2019, 16:00:38
в хомяк nobody( не лайва ) разрешит сохранять
да и в /temp
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 30 Май 2019, 16:09:13
Или еще проще - скачать что-то и автооткрыть с правами рута
вот поэтому запускать скрипты\приложения откуда попало - плохая идея
только из мест где обычному юзеру запись запрещена
под виндой только так и спасаюсь от вирусни )
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: krasnyh от 30 Май 2019, 16:11:00
Я как-то пробовал перейти на парольное sudo, но слишком много специальных утилит PRA требуют это самое sudo -  pacman2pfs и т.д.
Nobody показался неудобным, что-нибудь скачаешь, а потом запускать ФМ-root, чтобы куда-то перенести.


Может какое-то адаптированное visudo, со всеми разрешениями для этих утилит?
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 30 Май 2019, 16:16:01
Безопасность не может быть удобной  :D
Может какое-то адаптированное visudo, со всеми разрешениями для этих утилит?
Может быть... Попробуйте написать. У Дяди Шурика было что-то
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 30 Май 2019, 16:18:44
Nobody показался неудобным, что-нибудь скачаешь, а потом запускать ФМ-root, чтобы куда-то перенести.
это решаемо )
Цитата
ну или сохранять туда где ему запись разрешена
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: krasnyh от 30 Май 2019, 16:39:40
Может какое-то адаптированное visudo, со всеми разрешениями для этих утилит?
Я не так выразился, ничего писать и переписывать не надо.
Нужен просто список утилит, используемых в PRA, со всеми путями, чтобы их можно было скопом вставить в /etc/sudoers в строку ALL ALL = NOPASSWD:.

А лучше, чтобы такой sudoers был где-то на форуме или в iso. Пользователь захочет - выберет такую степень защиты. Т.е. все запоролено, кроме этих утилит и что-то там еще для удобства.

Получится что-то среднее между безопасностью и удобством. Все же одного nobody мало, прикрыт только браузер, а в системе запускай что хочешь и с какими угодно правами.
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: sfs от 30 Май 2019, 16:44:14
да. Я это и имел ввиду
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: krasnyh от 30 Май 2019, 17:02:28
Откопал свое старое сообщение об использовании windows:
Цитата
В свое время у меня была сборка Windows XP.
Как и во всякой сборке там пользователь по умолчанию с правами администратора (а потом жалуются, что их вирусы одолели).
 Пользователь был удален и создан новый с пониженными правами (вроде с гостевыми).
Установлена программа sudo (SuRun), повышающая права через пароль, когда это требуется.
 Так же, через инструменты Windows, создан белый список расширений файлов,
которым разрешено запускаться в системе и белый список разрешенных для запуска программ.
Роутер с включенным фаерволом. (На нем прописан яндекс.DNS /Безопасный/)
В системе фаервол был отключен и удален антивирус.
 Иногда я прогонял проверку системы через dr.Web и AVZ.
  За все время использования XP у меня не было проблем с вирусами.
Хотя в интернете можно увидеть постоянные Хелп! Вирусы!

P.s.  Правда еще, с помощью ACRONIS, был создан  образ восстановления XP, после ее установки и настройки (backup.tib ). :)

Там еще и права были настроены:
- папки для запуска, но не записи
- папки для записи, но не запуска.

Это я таким способом отказался от антивируса на слабом компе. Об удобствах конечно речи не идет.  :)
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 30 Май 2019, 17:20:21
Это я таким способом отказался от антивируса на слабом компе. Об удобствах конечно речи не идет.
о чем вы ?? какие неудобства ??  :) когда все необходимое установлено\настроено, админские права под виндой даром не нужны ) соответственно потребность вводить пароли возникает редко

Установлена программа sudo (SuRun), повышающая права через пароль, когда это требуется.
эээ а запустить от админа разве нельзя(пкм) она же вроде сама пароль запрашивает если прав не хватает ? или я с win7 путаю ?
имхо лишняя эта прога
и белый список разрешенных для запуска программ.
Software Restriction Policies (SRP) ?
это вот у них хорошее дополнение безопасности, вместе с разграничением прав, высоченный забор для вирусни получается
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: k0l0p0k от 30 Май 2019, 17:23:58
ужен просто список утилит, используемых в PRA, со всеми путями, чтобы их можно было скопом вставить в /etc/sudoers в строку ALL ALL = NOPASSWD:.
кстати да, ifconfig, reboot еще несколько полезно было бы в такой список поместить
но не все