Ivan Asked: 2009-05-16 16:02:31 +0800 CST2009-05-16 16:02:31 +0800 CST 2009-05-16 16:02:31 +0800 CST 阻止用户运行某些程序 772 是否可以阻止用户在他们的 Linux 计算机上运行某些程序?有白名单方法吗?黑名单? linux security permissions 6 个回答 Voted Best Answer Zoredache 2009-05-16T16:27:23+08:002009-05-16T16:27:23+08:00 简单的解决方案可能是简单地删除系统二进制文件的执行权限。如果您想阻止用户从他们具有写访问权限的目录编译或运行东西,您可以创建一个单独的分区并使用 noexec 选项挂载这些文件系统。 man mount(noexec 选项) 不允许在已挂载的文件系统上直接执行任何二进制文件。(直到最近,仍然可以使用 /lib/ld*.so /mnt/binary 之类的命令运行二进制文件。自 Linux 2.4.25 / 2.6.0 以来,这个技巧就失败了。) 我相信另一种方法可以实现这一点,您需要使用AppArmor或SELinux 之类的东西。 cletus 2009-05-16T17:49:55+08:002009-05-16T17:49:55+08:00 答案取决于您是否需要黑名单或白名单解决方案。 白名单实际上相当容易。使用 Ubuntu 和许多其他发行版使用的相同方法。为特定程序或程序组创建一个组,将可执行文件的组设置为该组,然后如果您希望他们能够访问它,则将用户添加到该组。这就是在 Ubuntu(和其他发行版)上访问 sudo、打印机和一大堆其他东西的方式。 黑名单实际上更难,但恕我直言,这并不是一件坏事。我认为黑名单本质上不太安全。事实上,我真的想不出一种不把它当作伪白名单的方法,即每个人都是相关组的成员,你只需删除那些你不想要的人。 squillman 2009-05-16T16:24:02+08:002009-05-16T16:24:02+08:00 使用组并拒绝在程序上执行。或者你在寻找更多? Christopher Cashell 2009-05-16T16:40:18+08:002009-05-16T16:40:18+08:00 您可能可以使用标准的 *nix 权限和组来破解某些东西。 但是,如果您需要更多的东西,您可能想要搜索 POSIX ACL。大多数(全部?)主要的 Linux 文件系统都支持它们,并且它们为您提供了很多额外的控制和粒度。 Andrioid 2009-05-18T09:26:20+08:002009-05-18T09:26:20+08:00 如果您想给人们有限的 shell 访问权限,请查看 rbash。它为用户提供了各种限制。还可以查看 PAM 的 limits.conf(Ubuntu 上的 /etc/securit/limits.conf)。第三个选项是为您的用户创建一个 jail/chroot 环境,您可以在其中准确地决定他们可以访问哪些二进制文件和库。 其他人也指出使用权限、noexec 和 ACL 来实现这一点。真的取决于您的需求,什么解决方案是最好的。 carlito 2009-05-24T16:58:05+08:002009-05-24T16:58:05+08:00 可能不是。这取决于“某些程序”的含义。如果用户有一个有用的交互式 shell,他们几乎可以安装任何他们想要的软件。但是,如果您不希望他们能够运行您已经安装的软件的特定副本,那么普通文件权限就可以正常工作。例如,创建一个组“xmmsblacklist”,chmod 705 /usr/bin/xmms,chgrp xmmsblacklist /usr/bin/xmms,并将用户添加到该组。
简单的解决方案可能是简单地删除系统二进制文件的执行权限。如果您想阻止用户从他们具有写访问权限的目录编译或运行东西,您可以创建一个单独的分区并使用 noexec 选项挂载这些文件系统。
man mount(noexec 选项)
我相信另一种方法可以实现这一点,您需要使用AppArmor或SELinux 之类的东西。
答案取决于您是否需要黑名单或白名单解决方案。
白名单实际上相当容易。使用 Ubuntu 和许多其他发行版使用的相同方法。为特定程序或程序组创建一个组,将可执行文件的组设置为该组,然后如果您希望他们能够访问它,则将用户添加到该组。这就是在 Ubuntu(和其他发行版)上访问 sudo、打印机和一大堆其他东西的方式。
黑名单实际上更难,但恕我直言,这并不是一件坏事。我认为黑名单本质上不太安全。事实上,我真的想不出一种不把它当作伪白名单的方法,即每个人都是相关组的成员,你只需删除那些你不想要的人。
使用组并拒绝在程序上执行。或者你在寻找更多?
您可能可以使用标准的 *nix 权限和组来破解某些东西。
但是,如果您需要更多的东西,您可能想要搜索 POSIX ACL。大多数(全部?)主要的 Linux 文件系统都支持它们,并且它们为您提供了很多额外的控制和粒度。
如果您想给人们有限的 shell 访问权限,请查看 rbash。它为用户提供了各种限制。还可以查看 PAM 的 limits.conf(Ubuntu 上的 /etc/securit/limits.conf)。第三个选项是为您的用户创建一个 jail/chroot 环境,您可以在其中准确地决定他们可以访问哪些二进制文件和库。
其他人也指出使用权限、noexec 和 ACL 来实现这一点。真的取决于您的需求,什么解决方案是最好的。
可能不是。这取决于“某些程序”的含义。如果用户有一个有用的交互式 shell,他们几乎可以安装任何他们想要的软件。但是,如果您不希望他们能够运行您已经安装的软件的特定副本,那么普通文件权限就可以正常工作。例如,创建一个组“xmmsblacklist”,chmod 705 /usr/bin/xmms,chgrp xmmsblacklist /usr/bin/xmms,并将用户添加到该组。