Hallo,
aus Sicherheitsgründen schwebt mir vor, auf einem Desktopsystem das Ausführen von Programmen in bestimmten Verzeichnisse zu verbieten.
Der Gedanke kam mir auf durch den sogenannten Bundestrojaner. Auch unter Linux ist es ja denkbar, daß man durch bspw. den Browser sich versehentlich ein ausführbares Programm einfängt, das zum Schnüffeln geeignet ist. Nun ist mein Gedanke, daß im Homeverzeichnis des Users keine Anwendung ausgeführt werden kann. Dann wäre man ja diesbzgl. einige Sorgen los. Dann könnte nicht durch eine Unachtsamkeit eine Anwendung gestartet werden.
Hier wäre jetzt eine Lösung interessant, die ein Ausführen von Anwendungen aus einem bestimmten Verzeichnis verbietet.
Die Lösung sollte so sein, daß ein generelles Verbot besteht bis auf bestimmte Dateien (.bashrc bzw. .bash_profile).
Gibt es so etwas? Bei den mir bekannten Lösungen (Lids, Apparmour etc) erkenne ich keine Möglichkeit. Bei diesen müssen immer die Rechte von bekannten Anwendungen konfiguriert werden. Mir ist aber nicht bekannt, daß man damit generell ein Ausführen verbieten kann.
Über Ideen würde ich mich sehr freuen.
MfG
Wolfram
Ausführen von Programmen in Verzeichnissen verbieten?
hi,
die klassische Methode sind getrennte Partitionen, die noexec gemontet
werden. Das hilft auch gegen gewöhnliche Scripte. Aber das Ganze bringt
nur was, wenn wirklich alle Verzeichnisse, in der User Schreibrechte hat,
auf solchen Partitionen liegen. Das wären mindestens /home, /tmp und
/var/tmp (und dann noch die, die mir jetzt nicht einfallen),
Ein Nachteil ist, daß manche Programme für bestimmte Aufgaben ein
Script erzeugen und dann ausführen wollen. Ein Beispiel ist apt-get, dafür
gibt es Abhilfe. Ein schlechtes Beispiel ist diese "Lösung" für mc -- dann
kann man sich das Ganze gleich sparen.
die klassische Methode sind getrennte Partitionen, die noexec gemontet
werden. Das hilft auch gegen gewöhnliche Scripte. Aber das Ganze bringt
nur was, wenn wirklich alle Verzeichnisse, in der User Schreibrechte hat,
auf solchen Partitionen liegen. Das wären mindestens /home, /tmp und
/var/tmp (und dann noch die, die mir jetzt nicht einfallen),
Ein Nachteil ist, daß manche Programme für bestimmte Aufgaben ein
Script erzeugen und dann ausführen wollen. Ein Beispiel ist apt-get, dafür
gibt es Abhilfe. Ein schlechtes Beispiel ist diese "Lösung" für mc -- dann
kann man sich das Ganze gleich sparen.
Beware of programmers who carry screwdrivers.
-
wow
- Beiträge: 124
- Registriert: 29.01.2004 17:17:17
- Lizenz eigener Beiträge: neue BSD Lizenz
- Wohnort: 12355 Berlin
Vielen Dank für die Tips.
In der Tat, oft denkt man nicht ans naheliegende. Das ist eine sehr gute Methode, eine entsprechende Partition mit der Option "noexec" zu mounten.
Eine andere Methode ist mir auch noch eingefallen, die ich noch überprüfen werde: Die erweiterten Posix Access Control Lists. Vielleicht kann man damit auch Usern in bestimmten Verzeichnissen verbieten, Dateien auszuführen. Ansonsten werde ich wohl die von Euch vorgeschlagene Methode anwenden.
MfG
Wolfram
In der Tat, oft denkt man nicht ans naheliegende. Das ist eine sehr gute Methode, eine entsprechende Partition mit der Option "noexec" zu mounten.
Eine andere Methode ist mir auch noch eingefallen, die ich noch überprüfen werde: Die erweiterten Posix Access Control Lists. Vielleicht kann man damit auch Usern in bestimmten Verzeichnissen verbieten, Dateien auszuführen. Ansonsten werde ich wohl die von Euch vorgeschlagene Methode anwenden.
MfG
Wolfram