Форум проекта PuppyRus Linux
Остальные обсуждения => Разговоры обо всём => Тема начата: Фарватер от 30 Апрель 2008, 07:26:38
-
В связи с тем, что появилась возможность работать от имени не-root пользователей, захотелось проверить, насколько теперь моя система будет защищена. Решил проверить таким тестом:
login newuser
rm -Rf /*
Как вы думаете, что после этого произошло? Экран погас, клавиатура на нажатия кнопок не реагировала. :-X Еще раз обращаю внимание: это не root, а самый захудалый пользователь!
Будем работать над этой проблемой. :'(
Заодно, мне стало интересно: есть ли среди нас смелые повторить это на убунте? ;D ;D ;D Сразу признаюсь - у меня не хватает мужества организовать такое побоище на своем компе с данными. Кому не хочется на убунте - предлагаю на чем-либо еще (на виндах, например ;D ).
-
ОС TinyMe (разновидность Мандривы )
$ rm -Rf /*
следует длинный список из строк такого вида
rm: cannot remove ' имя файла ' : Permission denied
и всё, фокус не удался - факир был в стельку пьян ;D
ИМХО. Убунту жалеть не надо - недостойна она жалости.
-
ОС PuppyRus Linux 1.12
1. Загрузка с LiveCD с параметром puppy pfix=ram
2. Ничего не монтировал !!! ;D
через несколько сек. после выполнения команды и лазания по пунктам меню - полный стоп ;D
Ctrl-Alt-Bakspace - черный экран ;D
чувствую, что если бы загрузил пуп_сейв - побатон колбасыил бы весь раздел ;D
-
следует длинный список из строк такого вида
rm: cannot remove имя файла : Permission denied
и всё, фокус не удался - факир был в стельку пьян ;D
То, что устройства остались на месте - это, конечно радует.
Сообщения Permission denied были посланы тем, что не удалено, а то, что удалено, кануло в лету молча - сами знаете, как оно бывает в юниксах. Так что, возможно, вы еще не досчитаетесь чего-то: это, как минимум, будут персональные файлы. Но, по сравнению с puppy, конечно, неплохо :)
через несколько сек. после выполнения команды и лазания по пунктам меню - полный стоп
это, наверное, отсутствие личных файлов аукнулось
Ctrl-Alt-Bakspace - черный экран ;D
А где наш терминал? Удалили! ;D
-
Фарватер, вы абсолютно правы. Все личные настройки сдуло. Но только личные.
Сейчас хочу поставить эксперимент с Puppy. Установлю PuppyRus1.12 на hda2 для чистоты эксперимента, на hda1 уже установлены Pup301 и Pup398 , и они при загрузке "подковёрно" обмениваются новыми файлами. Создам save-файл, а потом rm -Rf..... и посмотрю, что останется.
-
Сейчас хочу поставить эксперимент с Puppy.
Не утруждайте себя - там все очень запущено, и результат известен наперед. :'(
-
Да, результат получился вполне ожидаемый - абсолютно пустой раздел, но мне это и было нужно. Зато посмотрел на великое "Unix-проклятье" в действии и заодно выкинул из головы одну глупую идею - каждому юзеру по save-файлу. Но тут же на её место пришла другая, в стиле дяди Билла, или "прячьте спички от детей" - спрятать консоль, точнее сделать вход в консоль через отдельный пароль "для посвящённых". ИМХО - для офис-варианта это будет просто необходимо, да и проще не придумаешь.
-
глупую идею - каждому юзеру по save-файлу
Вот вот! Видите, как важно и нужно нормальное многопользовательство!
в стиле дяди Билла, или "прячьте спички от детей" - спрятать консоль
А по-моему, стабильность, надежность и безопасность юниксов начинается именно с консоли: то, что работает в консоли - работает везде.
-
А по-моему, стабильность, надежность и безопасность юниксов начинается именно с консоли: то, что работает в консоли - работает везде.
Так с этим никто и не спорит. Я не про программы, а про "человеческий фактор", дураков у нас хватает, особенно на работе. "Что бы натворить, лишь бы не работать", и если готовить Puppy к серьёзной работе, то нужно предусмотреть не один уровень "защиты от дурака". Надёжность - это отсутствие поломок, а сломать легче всего покопавшись внутри.
-
дураков у нас хватает
Тогда предлагаю самый радикальный способ:
1. создать индивидуальные мусорные карзины, куда пользователи будут все перемещать вместо удаления + chmod 700 /bin/rm
Корзины будут очищаться админом лично или регулярно запускающимся скриптом.
2. Отнять права на чтение и запись всех директорий кроме $HOME, а на исполняемые файлы, которые, все же, должны это делать, поставить sgid
-
Быстрое и грязное решение проблемы:
find / -type d -print0 | xargs -0 chmod -c go-w
chmod -R g+w /tmp
Первая команда запретит запись (и стирание) в каталогах для владельцев-групп и прочих пользователей, оставив это право лишь у владельцу-пользователю. Вторя команда сделает исключением временный каталог /tmp, запись валдельцев-групп в который, нужна для запуска Х.
В результате, у непревелигированных пользователей будет работать большая часть программ. Не будут работать Seamonkey, OpenOffice и, может, что-то еще. Но не так много программ пострадает.
Отсюда дальнейший путь - отслеживание и добавление дальнейших исключений.
-
Наверное достаточно удалить запуск консолей из меню, с десктопа, из трея и из Rox-filer. На десктопе и в меню оставить только минимум программ. И конечно же админам рекомендовать ставить многопользование с ограничениями для юзеров.
-
А зачем удалять консоли? Если пользователь захочет, то он и без консолей все файлы поудаляет через ROX.
-
Специально не удаляют, обычно. Если получится предлагаемая тобой защита, то люкс. Хотя обычные юзеры консолью не пользуются, защита "от дурака" не помешает. Только не "параноидальный уровень" ;D
-
Пришла в голову мысль. Сxожу-ка на досуге в Apple-центр и проверю их компы этим тестом! ;D ;D ;D
Какие будут прогнозы? 8)
-
Прогнозы? Никакие, мне очень интересен результат. Если окажется что пострадает система и в центре камеры то ты там точно станешь нежелаемым гостем ;D.
-
ты там точно станешь нежелаемым гостем
Компы они выставили сами, чтобы потенциальные потребители оценили качество. Как потенциальному потребителю мне важно знать, как их система реагирует на такого рода штучки, поэтому я и тестирую. С удовольствием позову свидетелей из числа местных "консультантов".
-
ты там точно станешь нежелаемым гостем
Компы они выставили сами, чтобы потенциальные потребители оценили качество. Как потенциальному потребителю мне важно знать, как их система реагирует на такого рода штучки, поэтому я и тестирую. С удовольствием позову свидетелей из числа местных "консультантов".
- круто ;D ;D ;D. Ждём результатов ;).
-
дураков у нас хватает
Тогда предлагаю самый радикальный способ:
1. создать индивидуальные мусорные карзины, куда пользователи будут все перемещать вместо удаления + chmod 700 /bin/rm
Корзины будут очищаться админом лично или регулярно запускающимся скриптом.
Ага, и еще запретить использование cat, mv, dd и вообще все юниксовые команды. Это, имхо, не выход.
2. Отнять права на чтение и запись всех директорий кроме $HOME, а на исполняемые файлы, которые, все же, должны это делать, поставить sgid
А вот это уже более правильно. А файлов таких не так уж и много.
Еще, как вариант, можно системные каталоги подключать как ридонли, а /home/ ложить в другую партицию и подключать как rw. Но это уже изврат )) Да и сложновато для папируса
-
Проверил я мак в магазине. Как и ожидалось, в ответ на данную команду, он пошел удалять что-то там. Когда вырубился экран, я предпочел смыться, пока не подошли продавцы, поэтому о том, что было потом я так и не узнал. ;D
-
Какие основания называть это хулиганством? Это законная проверка! ;D Я же не вирус им туда засунул! Хотя, проверять на надежность можно и вирусами, так что пусть радуются, что легко отделались. ;D
-
Ну вот, надоумил +)))
-
Проверил я мак в магазине. Как и ожидалось, в ответ на данную команду, он пошел удалять что-то там. Когда вырубился экран, я предпочел смыться, пока не подошли продавцы, поэтому о том, что было потом я так и не узнал. Смеющийся
Тут не чему удивляться, просто "продавцы-консультанты" еще те консультанты, если не выставили юзеровскую учетку для всеобщего пользования-тестирования.
А с безопасностью у маков все ок. несколько раз была необходимость спасти данные с винчестеров на МакБуках и Хакинтошах - так вот без самой МакОС - это так и не удалось... права-права, и не обойдешь их и не изменишь... благо можно с помощью несложных манипуляций вернуть МакОС на место не потеряв данные и установленный софт..
-
А с безопасностью у маков все ок. несколько раз была необходимость спасти данные с винчестеров на МакБуках и Хакинтошах - так вот без самой МакОС - это так и не удалось... права-права, и не обойдешь их и не изменишь..
Если включено шифрование в файловой системе - то да. И тем не менее, должны быть механизмы восстановления, т.к. в каждом юниксе есть вероятность потери файлов /etc/passwd и /etc/shadow, которая, при наличии шифрования, приведет к невосстановимости и незагружаемости файловой системы. К сожалению, я не знаком с Маком, чтобы сказать, как он от этого застрахован.
Кстати, еще один свежий прикол с маками в магазинах - простенький bash-скрипт, который запускает 1000 фоновых копий браузера Safari. Комп выглядит здоровым, только виснет так, что приходится перезагружать кнопкой, т.к. свопирует оперативную память до посинения. Продавцам остается только хлопать глазами. В системе, заточенной на безопасность, такие трюки должны пресекаться квотами. Но, Мак таковой, видимо, пока не является. :)
-
Заодно, мне стало интересно: есть ли среди нас смелые повторить это на убунте? Сразу признаюсь - у меня не хватает мужества организовать такое побоище на своем компе с данными. Кому не хочется на убунте - предлагаю на чем-либо еще (на виндах, например ).
- Winda реагирует нормально -
(http://img-fotki.yandex.ru/get/6004/k0l0p0k.0/0_56212_da2f845a_L.jpg) (http://fotki.yandex.ru/users/k0l0p0k/view/352786/)
http://fotki.yandex.ru/users/k0l0p0k/view/352786/ (http://fotki.yandex.ru/users/k0l0p0k/view/352786/)
чуть не забыл - под админом так не делайте :-[