Hallo,
ich will verhindern, dass ein paar User, unter denen verschiedene Sachen, wie zb. ein apache-itk, laufen, auf bestimmte Verzeichnisse zugreifen.
zb in /etc nur das was sie wirklich brauchen. Aber alle anderen User sollen keine Einschränkungen haben.
hab dann im Wiki von grsecurity gelesen, das das geht. Nur leider bekomm ich die config nicht hin, dass alle anderen User alles dürfen. im Wiki wird auf eine Beispieldatei dafür verwiesen, aber die gibt es nicht und im Forum von grsecurity hat jemand genau nach dieser Beispiel Datei gefragt. bekam aber keine Antwort. überhaupt wirkt das Projekt relativ inaktiv.
wenn ich die Default Regel von grsecurity so veränder, dass alle erstmal alles dürfen, lässt sich grsecurity nicht mehr starten, mit der Fehlermeldung, dass die Rechte so Sicherheitslücken darstellen würden. laut Wiki gibts da zwar einen Parameter um grsec trotzdem zu aktivieren. aber den gibt es in der aktuellen Version von gradm nicht.
weis jemand wie ich das hinbekomm oder gibt es eine alternative zu grsecurity, mit der das geht, was ich will?
grsecurity oder alternativen ?
Re: grsecurity oder alternativen ?
Dafür sollten, wenn ich das richtig verstanden habe, normale POSIX ACLs vollkommen ausreichen.
Schau mal bei http://www.suse.de/~agruen/acl/linux-acls/online/ ob dir das gefällt. Ist etwas tricky sich da einzuarbeiten, also spiel erstmal mit einem Testverzeichnis rum, bis du das beherrschst, bevor du's mit den Dateien und Verzeichnissen machst, die für den Produktivbetrieb wichtig sind.
Ist ein Feature, das der Vanilla-Kernel mitbringt, aber meines Wissens normalerweise nicht aktiviert - d.h., Kernel mit ACLs neu kompilieren und dann auch die Coreutils, ansonsten zeigt z.B. "ls" dieses schöne + nicht an.. Funktionieren tut's aber trotzdem. ;)
Schau mal bei http://www.suse.de/~agruen/acl/linux-acls/online/ ob dir das gefällt. Ist etwas tricky sich da einzuarbeiten, also spiel erstmal mit einem Testverzeichnis rum, bis du das beherrschst, bevor du's mit den Dateien und Verzeichnissen machst, die für den Produktivbetrieb wichtig sind.
Ist ein Feature, das der Vanilla-Kernel mitbringt, aber meines Wissens normalerweise nicht aktiviert - d.h., Kernel mit ACLs neu kompilieren und dann auch die Coreutils, ansonsten zeigt z.B. "ls" dieses schöne + nicht an.. Funktionieren tut's aber trotzdem. ;)