Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Запуск программы без доступа к моим данным  (Прочитано 1954 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн avi9526

  • Автор темы
  • Активист
  • *
  • Сообщений: 618
  • ахтыжъёшкинкот
    • Просмотр профиля
    • Блог av9526
У меня стоит BOINC скачанный с оф. сайта (не из репозитория)
Я его запускаю от моего пользователя. Я не сомневаюсь, что ничего вредоносного в BOINC нету, но хотелось бы (хотя бы для получения сих навыков), ограничить его доступ к моим папкам.
Он у меня "лежит" в "/home/avi9526/Programs/BOINC/" и мне надо сделать так, что бы он никак не мог посмотреть что находится в "/home/avi9526/Programs/" и выше, и уж точно не смог там ничего изменить (на какие-то папки конечно чтение точно должно быть а то небось и не запустится :) ).
Т.е. у программы должен быть доступ только к необходимым для выполнения заявленных функций папкам.
Не подскажете как? (без WM)
Спасибо!
« Последнее редактирование: 24 Январь 2012, 14:19:14 от avi9526 »
Ubuntu 14.10

Оффлайн S@nt@S

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
Re: Запуск программы без доступа к моим данным
« Ответ #1 : 24 Январь 2012, 14:53:51 »
сделать пользователя, которому разрешить доступ только к требуемым каталогам
и запускать софтину от имени этого пользователя

Оффлайн avi9526

  • Автор темы
  • Активист
  • *
  • Сообщений: 618
  • ахтыжъёшкинкот
    • Просмотр профиля
    • Блог av9526
Re: Запуск программы без доступа к моим данным
« Ответ #2 : 24 Январь 2012, 15:48:56 »
пользователя, которому разрешить доступ только к требуемым каталогам
как?
придется делать запрет на чтение моей папки другими пользователями?
chmod -R 740 /home/avi9526Не охота мои данные трогать О_о
« Последнее редактирование: 24 Январь 2012, 15:51:00 от avi9526 »
Ubuntu 14.10

Оффлайн Quiniqu

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Запуск программы без доступа к моим данным
« Ответ #3 : 24 Январь 2012, 15:57:24 »
Гугли -apparmor
I5-2500 3.30GHz

Оффлайн avi9526

  • Автор темы
  • Активист
  • *
  • Сообщений: 618
  • ахтыжъёшкинкот
    • Просмотр профиля
    • Блог av9526
Re: Запуск программы без доступа к моим данным
« Ответ #4 : 24 Январь 2012, 20:19:12 »
Гугли -apparmor
гугл выдал еще про selinux, и там и там очень много текста в стиле "ЭВМ - это ..."
Можете пожалуйста помочь сузить область рассмотрения данного вопроса.
Мне по сути надо пользователю "boinc" запретить доступ ко всему "/home" кроме "/home/Programs/BOINC" (его домашний каталог)
Ubuntu 14.10

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net

Оффлайн avi9526

  • Автор темы
  • Активист
  • *
  • Сообщений: 618
  • ахтыжъёшкинкот
    • Просмотр профиля
    • Блог av9526
Re: Запуск программы без доступа к моим данным
« Ответ #6 : 24 Январь 2012, 23:46:39 »
я пока разбираюсь с создание пользователя который будет запускать эту программу
написал скриптик, кто-нибудь может прокомментировать?
useradd boinc
usermod boinc -d "/home/avi9526/Programs/temp/" -s /bin/bash
addgroup boinc-group
usermod -aG boinc-group boinc
chown -R boinc:boinc-group "/home/avi9526/Programs/temp/"
chmod -R 777 "/home/avi9526/Programs/temp/"
я вот только не знаю как запустить программу от пользователя
sudo -i -u boinc ./run.sh
мой пароль требует О_о, а мне его а автозапуск добавить надо( пароль не в тему. Что делать? (кроме man *)
Ubuntu 14.10

Оффлайн Alie Alexandross

  • Старожил
  • *
  • Сообщений: 1580
    • Просмотр профиля
Re: Запуск программы без доступа к моим данным
« Ответ #7 : 24 Январь 2012, 23:56:26 »
sudo -u boinc ./run.shТак тоже пароль требует?
Подпись автора jillsmitt истинна...

Оффлайн avi9526

  • Автор темы
  • Активист
  • *
  • Сообщений: 618
  • ахтыжъёшкинкот
    • Просмотр профиля
    • Блог av9526
Re: Запуск программы без доступа к моим данным
« Ответ #8 : 25 Январь 2012, 06:31:30 »
sudo -u boinc ./run.shТак тоже пароль требует?
да
Ubuntu 14.10

Оффлайн Quiniqu

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Запуск программы без доступа к моим данным
« Ответ #9 : 25 Январь 2012, 07:03:32 »
А если без sudo?
I5-2500 3.30GHz

Оффлайн avi9526

  • Автор темы
  • Активист
  • *
  • Сообщений: 618
  • ахтыжъёшкинкот
    • Просмотр профиля
    • Блог av9526
Re: Запуск программы без доступа к моим данным
« Ответ #10 : 25 Январь 2012, 07:04:43 »
А если без sudo?
мне от имени этого пользователя надо запустить, как еще можно?
Ubuntu 14.10

Оффлайн Quiniqu

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Запуск программы без доступа к моим данным
« Ответ #11 : 25 Январь 2012, 07:19:26 »
ну тогда можно прописать в /etc/sudoers не спрагивать пароль на этот скрипт
I5-2500 3.30GHz

Оффлайн Alie Alexandross

  • Старожил
  • *
  • Сообщений: 1580
    • Просмотр профиля
Re: Запуск программы без доступа к моим данным
« Ответ #12 : 25 Январь 2012, 10:34:41 »
Довольно странно, учитывая то, что сама проверила запустить от имени другого непривилегированного пользователя простую команду echo и ls - пароль не потребовался. Вашему скрипту случайно админский доступ не нужен?
Подпись автора jillsmitt истинна...

Оффлайн avi9526

  • Автор темы
  • Активист
  • *
  • Сообщений: 618
  • ахтыжъёшкинкот
    • Просмотр профиля
    • Блог av9526
Re: Запуск программы без доступа к моим данным
« Ответ #13 : 25 Январь 2012, 10:35:59 »
в нем написано
echo "WTF?"помоему для этого не нужен админский доступ О_о

А пользователя как создала?
по моему скрипту создания нового пользователя boinc или нет, может я что-то пропустил, может его надо было создавать с ключом "--system"
Ubuntu 14.10

Оффлайн Alie Alexandross

  • Старожил
  • *
  • Сообщений: 1580
    • Просмотр профиля
Re: Запуск программы без доступа к моим данным
« Ответ #14 : 25 Январь 2012, 10:43:53 »
sudo useradd -M -N -s /bin/bash noneuserСкрипт будет работать, если его вынести вместе с каталогом за пределы домашнего каталога пользователя.
Попробуйте создать директорию /home/boinc (а лучше в /etc/boinc/noneuser) и поместить скрипт туда.
Кстати, для подобных операций в системе есть nobody пользователь.
« Последнее редактирование: 25 Январь 2012, 11:11:17 от Alie Alexandross »
Подпись автора jillsmitt истинна...

 

Страница сгенерирована за 0.058 секунд. Запросов: 24.