Re: запретить пользователю команды

[Dmitry Agafonov]

6 апреля 2010 г. 23:20 пользователь Юрий Аполлов <apollovy на gmail.com> написал:
> ACL спасут отца русской демократии

Имеется в виду что-то конкретное?
Ибо в командной строке, в man-ах, по ALT+F2 и даже в apropos ACL нет
ничего похожего. Википедия пишет о сферических списках контроля
доступа, а единственная ссылка из статьи со словами linux ACL ведёт на
описание системы "rwxrwxrwx" для разных ФС.
Что я делаю не так, пытаясь применить ваш ответ к задаче ограничения
возможности использования команд?


Насколько я знаю, у нас тут в POSIX - разрешительная система ACL и
_запретить_ конкретным пользователям что-то нельзя не меняя полностью
политику разрешений*.
Может быть я не прав, можете смело указывать на мою отсталость :(

* Поясню: как было предложено, можно всем программам, доступ к которым
надо кому-то запретить убрать возможность исполнения "для всех". Затем
им сменить группу на специальную созданную типа "allowed" и добавить в
группу всех пользователей, кроме тех, кому нельзя запускать данные
программы. Вроде должно работать как надо, но я не уверен в сторонних
эффектах таких действий и не рекомендовал бы даже пытаться без
тестирования. И вообще не рекомендовал бы.

> 5 апреля 2010 г. 9:02 пользователь Vladimir Smagin <21h на blindage.org>
> написал:
>>
>> омфг. не, лучше добавить группу и внести туда юзеров кому разрешено. а
>> потом нужную прогу поместить в эту группу и выставить права запускать
>> только указанной группе.
>>
>> On Mon, 2010-04-05 at 10:28 +0545, Усин Айбек wrote:
>> > кажись кудато в сторону ldap в связке с чемнить надо копать
>> >
>> > 5 апреля 2010 г. 8:32 пользователь Vladimir Smagin <21h на blindage.org>
>> > написал:
>> >         как запретить исполнять пользователю команды? например, passwd
>> >         или scp.


-- 
Dmitry Agafonov