Вопросы Теги

Какие существуют способы строгого и постоянного ограничения доступа к привилегиям суперпользователя в Linux? [закрыто]

Похоже, что эти две команды решают проблему:

sudo ethtool -s eth0 autoneg off speed 100 duplex full

sudo dhcpcd eth0

Только это сейчас, еще нужно выяснить, как они могут работать на запуск системы, потому что после каждого перезапуска должны использоваться две команды.

Похоже, что добавление их в /etc/rc.local не дает никакого эффекта.

Тем не менее при загрузке есть эти 3 проблемы:

[FAILED] Failed to start LSB: IPV4 DHCP client with IPV4LL support
[17.289877] usb 1-1.4.3: device descriptor read/64, error -110
A start job is running for Raise network interfaces (**min **s / 5min 8s)

И есть время ожидания, пока не пройдет 5 минут 8 секунд. Эта последняя ошибка появляется всегда только тогда, когда интернет-соединение не распознается, но никогда, когда интернет-соединение работает с самого начала сразу после перезапуска, без использования каких-либо команд для запуска Интернета.

1
31.01.2018, 15:53
1 ответ

Сентиман дал очень обстоятельный ответ . Вот несколько дополнительных мыслей:

  • Вы можете удалить cron, потому что у него должна быть привилегия устанавливать для UID процесса любое значение.
  • Любой процесс, которому необходимо иметь возможность читать любой файл может быть запущен от имени пользователя без полномочий -с возможностью «CAP _DAC _READ _SEARCH» — см. это , это , и это .
  • Процессы, которые должны иметь возможность записи в «системные» файлы могут быть заданы не -корневые UID (могут быть разные для каждой программы, или для каждого ресурса ), а затем предоставляется доступ с помощью ACL.
  • Процессы, которые должны иметь возможность делать «привилегированные» вещи может быть в состоянии сделать это с другими возможностями (, рассмотренными выше ); см. Принцип наименьших привилегий .

Для внесения изменений в конфигурацию после настройки и обойти rootограничения : 

  • Настройте компьютер на двойную -загрузку.
  • Одна операционная система будет защищенной, с минимальным корневым доступом и активностью.
  • Другой будет более -или -менее нормальным Linux, но с удаленными сетевыми драйверами.
  • На редком (? )Повод системного администратора необходимость администрирования системы, они могли выключиться, загрузиться в обычный Linux, сделать то, что нужно сделать, и перезагрузиться.

По-видимому, SELinux и AppArmor явно поддерживают это понятие .

1
27.01.2020, 23:11

Теги

Похожие вопросы