Вопросы Теги

Как использовать “аппаратный ключ” для управления сетями Linux

Это полностью нормально. Ваш /var/www каталог принадлежит пользователю root и корневой группе с теми правами drwxr-xr-x.

Это намного более лучше, чтобы иметь /var/www принадлежность корню, потому что это запретит возможным дефектам безопасности в апаче или php писать и изменять исходный код на этом сервере.

Что можно сделать об этом:

  1. Сделайте свой wget с корневыми правами. Например:

    $ sudo wget http://ftp.drupal.org/files/projects/drupal-7.0.tar.gz или

    $ su -c "wget http://ftp.drupal.org/files/projects/drupal-7.0.tar.gz"

  2. Загрузите его со своего $HOME и untar он впоследствии

    $ cd ~; wget http://ftp.drupal.org/files/projects/drupal-7.0.tar.gz

  3. Проигнорируйте те рекомендации по безопасности и права изменения на /var/www

    $ sudo chown `id -u`:`id -g` /var/www

РЕДАКТИРОВАНИЕ: Если Вы повредили Ваш /var/www дерево с a chmod -R 777 /var/www/* и не имейте записи в черт, можно благодарить Бога и быстро выполнить те команды, прежде чем он приедет для Вас:

$ sudo find /var/www -type d -exec chmod 755 {} \;
$ sudo find /var/www -type f -exec chmod 644 {} \;
3
08.03.2013, 17:26
3 ответа

Возможно, объедините правила udev и прием iptables?

Когда целевое USB-устройство будет добавлено, выполниться iptables -D OUTPUT -j DROP; при удалении выполниться iptables -I OUTPUT DROP

Для детали о сценарии смотрите на руководство здесь

(Используйте lsusb получать информацию о поставщике)

Править

Ну, это разработано для некорневых пользователей, так как иначе, невозможно заблокировать пользователя root от восстановления его, если флеш-карта не является медиа доступа в Интернет.

2
27.01.2020, 21:17
  • 1
    Но затем я могу включить Интернет, не нуждаясь в палке usb. Я просто работал бы "iptables-I ВЫХОДНОЕ ОТБРАСЫВАНИЕ" сам. –  tzanko 08.03.2013, 17:20
  • 2
    @tzanko, Если у пользователя есть корневое разрешение, нет никакого способа заблокировать пользователя от выполнения произвольного кода. –  daisy 08.03.2013, 17:28

Так как Ваши требования включают корень, не бывший способный обойти его, лучшая вещь сделать состоит в том, чтобы, вероятно, переключиться на сетевой интерфейс USB. Или, альтернативно, если Вы используете соединенный проводом Ethernet, вместо флеш-карты, удаляете кабель Ethernet.

После получения Вашей работы интерфейса USB у Вас будет запрещение встроенного интерфейса. Если его беспроводная связь, существует разумный шанс что его на самом деле карта PCI-E (тривиален для удаления). В противном случае можно попытаться удалить антенну, которой может быть достаточно, чтобы мешать ему работать.

Отключение порта Ethernet довольно просто: заполните его горячим связующим звеном. Это является довольно постоянным, также.

Вы могли также отключить свое соединение от другого конца. Например, добавьте свой MAC-адрес к черному списку маршрутизатора. Вы могли, конечно, войти в к маршрутизатору, чтобы повторно включить его..., но Вам будет нужен доступ к сети сначала, который необходимо было бы перейти к другому компьютеру, чтобы иметь. Или, если соединено проводами, отключите свой кабель от переключателя.

Если кто-то еще управляет сетевым механизмом, Вы могли бы говорить с ним и видеть, можно ли было поместить ограничение на месте на маршрутизаторе.

Если Вы - единственный на соединении, Вы могли бы также удалить маршрутизатор/модем/и т.д. Или просто его кирпич питания.

(Если Вы действительно, действительно необходимо сделать это с программным обеспечением только, Вам могло бы удаться заблокировать вниз корень путем вынимания сетевого администратора из набора возможностей, который, по крайней мере, вынудит Вас к перезагрузке...),

1
27.01.2020, 21:17

Я выяснил простой способ сделать то, что я хотел, таким образом, я отправлю его здесь как ссылку на других, которым, возможно, понадобилось бы что-то подобное.

Как многие люди отметили, если у Вас есть корневой доступ, очень трудно ограничить что-либо. Таким образом, идея состоит в том, чтобы ограничить корневой доступ. Мы можем использовать pam_usb модуль, чтобы сделать это. Мы можем настроить компьютер таким способом, которым карта с интерфейсом USB требуется, чтобы входить в систему как корень. См. учебное руководство на http://linuxconfig.org/linux-authentication-login-with-usb-device, который объясняет как.

Когда у нас больше нет неограниченного корневого доступа, мы можем ограничить или отключить Интернет/сети различными способами.

2
27.01.2020, 21:17

Теги

Похожие вопросы