Главная » Форум » Gentoo Linux » Системное администрирование

Ограничение доступа к dmesg

vprisivko 31 июля, 2009 - 03:02

Поскольку Hardened Gentoo времени нет, хочется каким-нибудь способом ограничить доступ непривилегерованных пользователей (которые могут заходить по ssh) к сообщениям ядра (dmesg).

# chmod 0-x /bin/dmesg

- последнее решение, не хочется прибегать к нему.

P.S. 

man dmesg

ничего не дал, равно как и Google.

‹ загрузка памяти Kaspersky ›
»

+

Автор Daevy, дата создания 31 июля, 2009 - 14:46.

есть такой вариант, переименовать в то что понравится...
но это скорей обман чем ограничение))))

oasu-lesovsky daevy # mv /bin/dmesg /bin/somename
oasu-lesovsky daevy # somename |head -n 1
Linux version 2.6.30-gentoo-r1 (root@oasu-lesovsky) (gcc version 4.1.2 (Gentoo 4.1.2 p1.1)) #2 SMP Tue Jun 30 11:40:24 YEKST 2009

there is only war...

»

chmod 700 /bin/dmesg; Имхо,

Автор slepnoga, дата создания 31 июля, 2009 - 16:50.

chmod 700 /bin/dmesg;

Имхо, самообман это, не больше, ибо /proc всё равно доступен для чтения.

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

А безопасно ли закрывать для

Автор vprisivko, дата создания 3 Августа, 2009 - 17:02.

А безопасно ли закрывать для чтения и исполнения остальным /proc или его части?

»

Краткий ответ : нет

Автор slepnoga, дата создания 3 Августа, 2009 - 17:56.

Краткий ответ : нет

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

+

Автор Daevy, дата создания 4 Августа, 2009 - 11:02.
slepnoga написал(а):
Краткий ответ : нет

я наоборот считаю что безопасно:-) в патчах grsecurity как раз таки частично закрывается доступ к /proc.
а вот самостоятельное и неосмотрительное ограничение может привести к непредсказуемым ошибкам.

there is only war...

»

Соглашусь. Т.е. правильный

Автор Anarchist, дата создания 12 Августа, 2009 - 10:07.

Соглашусь.

Т.е. правильный путь к решению задачи --- смотреть на документацию по grsecurity и в сторону hardened (как минимум ядра, а скорее системы в целом).

:wq
--
Live free or die

»

slepnoga написал(а):Краткий

Автор slepnoga, дата создания 12 Августа, 2009 - 20:45.
slepnoga написал(а):
Краткий ответ : нет

Ладно, менее краткий ответ:
Нет, не безопасно с точки зрения работоспособности системы и труднореализуемо практически (без модификации ядра), пример : как закрыть /proc/< \pid_proccess_name> ,надежно и с гарантиеей ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): chmod

Автор Daevy, дата создания 4 Августа, 2009 - 10:58.
slepnoga написал(а):
chmod 700 /bin/dmesg;

Имхо, самообман это, не больше, ибо /proc всё равно доступен для чтения.

ткните где dmesg-информация лежит в /proc ?

there is only war...

»

chroot?

Автор semlanik, дата создания 3 Августа, 2009 - 18:02.

chroot?

»

Ставьте hardened-sources, в

Автор NightNord, дата создания 12 Августа, 2009 - 16:52.

Ставьте hardened-sources, в GResecurity есть такая опция как запрет чтения dmesg не супер-пользователю. В т.ч. там есть запрет просмотра не-своих процессов, запрет чтения /proc и т.п.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".