Dotaz: Ako zakazat spustenie specifickych prikazov (aj pod rootom)

Zdravim.

Na zaciatok uvediem, preco ma odpoved na tento zdanlivo blby dotaz zaujima. Uz 2x sa mi stalo, ze som v rychlosti omylom pod rootom spustil v / prasarnu "chmod 777 * -R" (nez som to stihol zastavit, stihlo to "potunit" obsah /etc/), pripadne iny specificky command, ktory moze sposobit nejaku neprijemnost (napr. legendardny rm -rf /). Ja viem, som idiot, ale nepiste mi prosim, ze mam byt opatrnejsi, chcem nejake spolahlivejsie riesenie, ktore osetri aj zlyhanie ludskeho faktoru :)

Viete o niecom, co by zabranilo exekucii nejakych, admin-defined prikazov? Prip. ze by sa to u nejakych specifickych prikazov v interactive mode spytalo nieco v zmysle "Are you sure?" .. alebo este lepsie, ak by sa dalo definovat, ze ak by niekto spustil akymkolvek sposobom (cez shell, alebo z akehokolvek programu) napr. "chmod 777 * -R", vyhodit na stderr hlasku: Forbidden, don't be lazy and use "chmod 777 /your/folder/ -R". Bohate by mi stacilo moznost definovat zakazane commandy striktne, luxus by bola moznost definovat masku regexom (na rychlo napr. ^chmod [0-9]+.+\-R.*$)

Teoreticky by nieco mohlo existovat, kedze na podobnej vrstve operuje aj sudo. Je to ale somarinka, hladam nieco jednoducho pouzitelne, ziadne patche kernelu apod.

Vopred dakujem za kazdu radu, postreh, napad, cokolvek.

PS: pouzivam Gentoo.

J.

Asi by šlo opatchovat shell, ale nějak si nedokážu představit, jak byste takový seznam "nebezpečných" příkazů vlastně chtěl sestavovat. Problém by se měl řešit tam, kde vzniká: ve vaší hlavě. Jinak totiž docílíte jen toho, že budete dělat totéž co dosud, jenom při tom navíc budete obcházet svůj blacklist.

Mimochodem, nezvykejte si psát přepínače až po argumentech. Je to dost ošklivý GNU-ismus a pokud si na to navyknete, budete mít problémy, až si sednete k nějakému systému s korektně se chovající implementací getopt().

Nejsem zrovna priznivcem ani znalcem reseni jako je SELinux ci AppArmor, ale domnivam se, ze to jsou nastroje ktere hledate a tudiz klicova slova, ktera bych zkusil Googlit. Tusim ze i tady na ABCLinuxu vysel pekny clanek o SELinuxu.

Zabránit spouštění programů můžete tak, že jim odeberete právo --x. Ale zrovna bez chmod se to bude blbě vracet, až ten příkaz budete chtít opravdu použít. Navíc pak budete naštvaný, že jste ten příkaz musel složitě zprovozňovat, a tomu, co děláte, budete věnovat ještě menší pozornost.

Dotaz by se dal řešit pomocí nějakého wrapperu, který byste spouštěl místo původního programu přes alias shellu. Některé programy už mají takovou možnost dotazu v sobě, a některé distribuce takové aliasy standardně nastavují, takže pak máte třeba alias rm=rm -i. Ale tím si jen přidáte další zbytečný dotaz, jak ve Windows, a když bezmyšlenkovitě příkaz odeentrujete, stejně bezmyšlenkovitě pak odpovíte na „Are you sure?“… Podle mne jediné řešení je změnit své chování a pod rootem nepracovat zbrkle.

Řešením by mohlo být, napsat si wraper skripty pro nebezpečné příkazy.

Přidejte si do $PATH na začátek cestu, něco jako /usr/local/wrapers. Tu složku vytvořte a do ní dáte skripty pojmenované stejně jako vaše nebezpečné příkazy, například rm, chmod a podobně. V těch skriptech si pak na začátku ošetříte nebezpečné parametry a pokud příkaz projde tak se spustí ze skriptu, pokud ne, tak třebas vypíše hlášku. Příkaz ve skriptu bude třeba zadat s úplnou cestou. Je třeba taky skriptum nastavit patřičné práva, aby si do nich nějaký jouda něco nedopsal.

Řešíš neřešitelné. Selhání lidskhého faktoru odstraníš jedině tak, že odstraníš samotný lidský faktor.

Podle mně (čistě teoreticky) bych vytvořil script pro každý nebezpečný příkaz a ten originální příkaz přejmenoval například chmod chmod.orig a do toho chmodu bych dal zjištění (pokud neni puštěn pod rootem , spustí chmod.orig s parametrama se kterýma byl spuštěnej chmod) Pokud ale byl spuštěnej pod rootem tak detekce souboru a složky , a pokud soubor nebo složka neni nebezpečná , chovat se stejně jako když neni puštěnej pod rootem. Pokud se ale jedná o nebezpečnou operaci nebo složku , nejdříve vyhodit hlášení s varováním že se jedná o nebezpečnou akci a požadavkem na potvrzení akce.

PS: nečetl sem celou diskuzi ale doufam že nenavrhuju již navržený ochranný faktor.