Сайт | Скачать | Видео | Wiki

Голосование

Как сделать PRA-roll безопаснее?

Ничего не менять. sudo для всех без пароля устраивает. run-as-nobody - опционально для перестраховки
5 (31.3%)
Сделать запуск браузеров и т.п. по умолчанию run-as-nobody, а сессию запускать от root
4 (25%)
Сделать запрос пароля для sudo
6 (37.5%)
sudo для всех без пароля. run-as-nobody для всех браузеров симлинком
0 (0%)
2 ярлыка (от live и от nobody) в 084-profile*.pfs.
1 (6.3%)

Проголосовало пользователей: 16

Автор Тема: run-as-nobody - запуск приложения от пользователя без прав  (Прочитано 13560 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 7532
  • Репутация: +173/-2
  • Старый чайник
Короче - куча проблем на ровном месте.
От nobody - да.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150)
Netbook Acer 722 c6ckk (AMD C-50 Ontario, Radeon HD 6250)
Nettop Asus Eee Box PC B202 (Intel Atom N270, intel GMA 950)
Nettop Asus Eee Box PC EB1007 (Intel Atom D425, Intel GMA 3150)
Вопросы: DdShurick@jabber.ru

Оффлайн paulus

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 1662
  • Репутация: +24/-0
На выходе реальные неудобства , усложнения и мнимая безопасность
То же самое вижу от твоего nobody, который в пра не нужен по любым соображеним. Сделай это поделие отдельным модулем и любители пусть его себе в модули кидают или подключай через меню загрузки (load=nobody), а из основной поставки для всех по умолчанию удали!!!
« Последнее редактирование: 28 Май 2018, 22:43:47 от paulus »

Оффлайн iman

  • Пользователь
  • **
  • Сообщений: 55
  • Репутация: +1/-0
    • Коран в переводе Иман Валерии Пороховой
Даже если Вас хакнули - все восстановится. Да и кому Вы нужны... с линуксом (да еще и нестандартным) , без белого ип и постоянно включенного компа
Реальный хак - перемыкают кабели провайдеров. Ничего ломать не нужно; ждут, когда информация сама проскочит.
...
Мне нравится ограничение к профилям браузеров. Браузеры должны быть отдельным ограниченным пользователем.
Еще можно ограничить межбраузерное сотрудничество созданием нескольких брауз-nobody. Например, chromium не должен иметь доступа к профилю firefox, и наоборот. Для pra - максимум.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 28557
  • Репутация: +195/-0
    • PuppyRus-A
Еще можно ограничить межбраузерное сотрудничество созданием нескольких брауз-nobody.
Можно. Создаете несколько бесправных юзеров и запускаете каждую прогу от своего юзера
Думаю это перебор

Оффлайн iman

  • Пользователь
  • **
  • Сообщений: 55
  • Репутация: +1/-0
    • Коран в переводе Иман Валерии Пороховой
firefox. Не открываются html с диска (PCManFM, ext4, с правами live:live:777). Но через меню Файл-открыть файл открывает.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 28557
  • Репутация: +195/-0
    • PuppyRus-A
firefox. Не открываются html с диска
Какой iso?

Цитата: sfs от 30 Май 2018, 21:31:03
    переделал запуск только для тех браузеров, где поправил 083
да кому оно надо, люди своими профилями для браузера пользуются и выкинь свой nobody на помойку.
Откуда опять инфа про всех людей?

Добавил 5 пункт в голосование шапки. Переголосовал за него
По сути это тот же п.1
Проголосовавшие за п. 2 и 3: уже сделано. Юзаете? Как впечатления?
« Последнее редактирование: 01 Июнь 2018, 10:11:39 от sfs »

Оффлайн paulus

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 1662
  • Репутация: +24/-0
По сути это тот же п.1
Где пункт nobody модулем и нет проблем? Это снова надо будет сохраненку лопатить, убирая твои тройные ярлыки и симлинки?! У тебя же модульность где-то была ;)
Очень просто - выкинуть все ненужные ненужности и останется нужная нужность. Чем и занимаюсь.
В сохраненке в основном удаления твоих ненужностей, утомляет их отлавливать. В этоп плане солидарен с DdShurick

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 28557
  • Репутация: +195/-0
    • PuppyRus-A
Где пункт nobody модулем и нет проблем?
5 и есть модулем.
У тебя же модульность где-то была
Не надо извращать идею
Делать модули размером меньше чем съест памяти слой aufs для подключения этого модуля - зло
В сохраненке в основном удаления твоих ненужностей, утомляет их отлавливать. В этоп плане солидарен с DdShurick
http://forum.puppyrus.org/index.php?topic=20264.msg144149#msg144149

Оффлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 5851
  • Репутация: +130/-0
    • RoDoN X
переделал запуск только для тех браузеров, где поправил 083
Т.е. решил сам за всех людей, т.е. пользователей.
Как хорошо, что ты забыл про Seamonkey ))) И мне не приходится ничего выгребать.

Acer Aspire One AO751h (Atom Z520, Intel GMA500)
Acer Aspire E1-571G (i3-3120M, GF710M)
PuppyRus-JWM-13.12, PRA, Upup Precise, Tahr Puppy, Runtu 18.04 x64 MATE/XFCE.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 28557
  • Репутация: +195/-0
    • PuppyRus-A

Оффлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 5851
  • Репутация: +130/-0
    • RoDoN X
Жестко всех перевел на nobody - чтобы получить результаты тестирования ("по хорошему" плохо у нас тестируют). Получил. Поправил. Всем поучаствовавшим - спасибо. Теперь можно переделать подобрее
Ты про это?
И теперь те кому это не нужно должны вычищать сохраненку от мусора...Хотя, молодец, взбодрил немного форумчан, а то лето наступает, затишье.

Acer Aspire One AO751h (Atom Z520, Intel GMA500)
Acer Aspire E1-571G (i3-3120M, GF710M)
PuppyRus-JWM-13.12, PRA, Upup Precise, Tahr Puppy, Runtu 18.04 x64 MATE/XFCE.

Оффлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 5851
  • Репутация: +130/-0
    • RoDoN X
И еще вопрос, почему каталог /nobody находится в хомяке пользователя live, который кстати там ничего не может, нет прав? Почему этот каталог не в /home лежит?

Acer Aspire One AO751h (Atom Z520, Intel GMA500)
Acer Aspire E1-571G (i3-3120M, GF710M)
PuppyRus-JWM-13.12, PRA, Upup Precise, Tahr Puppy, Runtu 18.04 x64 MATE/XFCE.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 28557
  • Репутация: +195/-0
    • PuppyRus-A
Чтобы live мог лазить в nobody/Загрузки как в свой
Исправил права 755 на 757

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1401
  • Репутация: +20/-1
Идея интересная, имеет право на жизнь .
Но насильно "втюхивать" юзерам ни к чему  (имхо) .
Сделать отдельным пунктиком , кому интересно - попробуют, не интересно - мимо пройдут.
И споров меньше )
1.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)
2.core2duo,4Gb,Radeon HD7850,(ubuntu+openBox+LXPanel, ddr01)

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 28557
  • Репутация: +195/-0
    • PuppyRus-A
В итоге так и планирую сделать