Bezpiecznie uruchamiaj dowolne polecenia w systemie Linux

2

Chciałbym, aby użytkownik określił listę poleceń do zbierania statystyk na temat systemu, którym jest zainteresowany. Uruchomiłbym je automatycznie w różnych scenariuszach. Nie jestem jednak pewien, jak bezpiecznie piaskownic polecenia.

Jedną z opcji byłoby noszenie białej listy dozwolonych poleceń, ale należałoby je zachować. Chciałbym być bardzo elastyczny, np. Czy w Linuksie można uruchomić dowolne polecenie z uprawnieniami do plików tylko do odczytu?

Jakie są twoje pomysły

kalaxy
źródło
Można mieć użytkownika, który nie jest właścicielem plików i nie może sudo, jak sądzę
Phoshi

Odpowiedzi:

3

W Gentoo znajduje się sandboxnarzędzie, które pozwala na uruchamianie programów w piaskownicy z dostępem tylko do odczytu na zewnątrz. Z powodzeniem zbudowałem go również pod Ubuntu. Źródła można pobrać tutaj .

Benjamin Bannier
źródło
To wygląda bardzo przydatne. Teraz, gdyby tylko mieli dokumentację.
kalaxy
@kalaxy: sandboxjest używany w Gentoo do bezpiecznego uruchamiania make installpodczas budowania pakietów, więc wiele dokumentacji znajdziesz na ten temat. Ten bugday.gentoo.org/sandbox.html wydaje się przydatny. Ulepszenie więcej (np. Dodanie selektywnej obsługi r + w devmanual.gentoo.org/function-reference/sandbox-functions/... ) wymagałoby zainstalowania dodatkowego oprogramowania Gentoo z portagenp. ebuild.shDeps from sources.gentoo.org/cgi-bin/ viewvc.cgi / portage / main / branches /…
Benjamin Bannier
2

SELinux pozwoli ci to zrobić. Możesz umieścić pliki wykonywalne w domenie z ograniczeniami lub utworzyć nową rolę z ograniczonymi uprawnieniami.

Ignacio Vazquez-Abrams
źródło
Właśnie tego szukam, niestety nie uruchamiamy SELinux.
kalaxy