Forum Debian Users Gang

Co to jest szkoła z dual-boot? Jeśli to szkoła to ja proponuje stawiać pałe jak ktoś tak bardzo coś popsuje. A tak poważnie to takie kompy w szkole są po to żeby psuć ;] Sie człowiek uczy to musi coś popsuć. A że ktoś ci zmieni hasło na roota, to nie potrafisz go zmienić drugi raz? Przy czym pała dla zmieniacza ;] Proponuje przygotować obrazy systemu i w razie spsucia odtwarzać. Bo jak tak pozabezpieczasz to nic nie bedzie można zrobić. Przecież zwykły użytkownik będzie musiał mieć uprawnienia root-a żeby cokolwiek zainstalować, to php czy odpali serwer mysql. Więc jestem przeciw zabezpieczeniu. To nie serwer z chronionymi danymi, tylko śmieciowisko używane przez 10 osób dziennie.

1. jezeli to ma byc srodowisko do nauki "informatyki" to zbytnie obwarowywanie tego jest kontrowersyjne (nie da sie nauczyc konfiguracji linuxa itp nie robiac tego)
2. jezeli ma to byc stacja do przegladania www/poczty itp to imho warto utrudnic jej psucie ... mozesz
a) zrobic srodowisko net-boot czyli jadro po tftp a / po nfs ...
b) zalozyc haslo na bios i kludke na obudowe (aby nie dalo sie startowac z cd) i zalozyc haslo na gruba aby nie dalo sie zmieniac opcji uruchomieniowych jadra

Najsłabszym ogniwem może być bootmanager/bootloader. grub to śmierć dla Linuksa :) Chyba, że wyłączyć się da możliwość edycji wpisów na uruchomionym już grubie, nawet nie wiem jak. Otóż wystarczy zedytować wpis tak: "root=/dev/xxx rw init=/bin/bash" i oto mamy nieograniczony dostęp do komputera. Nie sprawdzałem nigdy czy użytkownik ten ma więcej praw niż root, tzn. czy plik niedostępny dla roota tu będzie mieć je. Ale tak ja bym opanował system szybko. W Lilo nie widzę takiej możliwości.

Po drugie najszybciej zrobić dwie partycje. Na jednej linux, system bazowy, ale uwaga, zamontować partycję tylko jako  Read-Only. To powinno załatwić wszelkie sprawy. Na drugiej partycji zamontować pozostałe zmienne katalogi: /tmp /var  i inne takie. Nawet /home można by w readonly dać... Zmienne pliki można wywalić jako dowiązania symboliczne na partycję zmienną. I odtwarzać te pliki skryptem przy uruchamianiu.

I zawsze warto wywalić niebezpieczne programy: parted, dd, rm, mv, useradd, itp.  i pewnie jeszcze wiele. (choć read-only powinno załatwić sprawę bez tak drastycznych numerów, no i odpowiednie prawa na wszelkie urządzenia w /dev)

mv /lib hgh (i po systemie :) mój ulubiony sposób, zastosowany raz w szkole )

BIOS (kolega wyżej wspomniał)... Są uniwersalne hasła... Może by je wywalić... hexedytorem :) Ale BIOS nic nie może w sumie... Mało szkodliwy jest. Ale jest groźne cuś jeszcze - bootowanie z innego medium. Wystarczy pendrive czy płyta i po systemie, każdym.

Warto by też zainstalować aplikacyjkę do informowania administratora o czymś że czegoś się nie da, a powinno. Bo mnie na uczelni irytuje, że nie można utworzyć bazy danych w bazie danych :) A administratora oczywiście nigdy nie ma... A na e-mail strach pisać... I tak pewnie nie przeczyta... (filtr na /dev/null)


Użytkownik nie musi mieć praw roota by coś zainstalować. Wystarczy instalować do swojego katalogu domowego. Najlepiej zrobić takiego małego linuksa każdemu, tzn. kopię katalogów /etc /bin /sbin/ /lib i tam niech sobie instaluję. Lokalne /lib  dodaje się do głównego /etc/ld.conf.so a zmienną PATH aktualizuje się o lokalne /bin /sbin. Ale istnieje niebezpieczeństwo, że ktoś sobie doinstaluje np. dd i rozwali wszystkie dane innym użytkownikom...

@NIC
1. o urzadzeniach z ktorych startujemy decyduje wlasnie bios ...
2. pisalem o hasle na edycje gruba ... o ile mnie pamiec nie myli (a moze bo bylo to dawno) w lilo tez sie dalo edytowac wpisy ...
3. system readonly niewiele da - bez praw roota i tak nie mozemy mazac po / (z pewnymi wyjatkami gdzie mazac moga np. uprawnione grupy) ... majac prawa roota mozemy przemontowac ro na rw ...
4. wiekszosc aplikacji o ktorych piszesz jest bezproblemowa w instalacji ... wiec ich wywalanie nie ma sensu (mozna to sobie skopiowac z innego systemu) a i tak potrzebuja one do robienia szkod root'a ... np. wspomniane dd (w przypadku dd wystarczy skopiowac binarke z podobnego systemu i dziala, ale i tak musi miec prawo do czytania pisania odpowiednich /dev)
5. co do lib w katalogu domowym to nalezy uwazac na kolejnosc bibliotek (musi byc ostatnim sprawdzanym katalogiem) bo inaczej mozna przejac roota przy pomocy spreparowanej biblioteki wykorzystanej przez program z setuid root ...
6. nie bazdzmy juz chamami z $HOME ro :-) czy wywalaniem mv i rm (!!!)
7. admini czesto czytaja poczte i mozna smialo pisac ...

@cyryllo w czym ma byc lepsze Ubuntu od Debiana w takim zastosowaniu ... pozatym LDAP nie jest konieczny, konieczna jest metoda odpalenia jadra z zdalnej maszynie ...

Ja dostałem pałe za shaczenie z dyskietki znaku zachęty podczas startu DOSa :D

Rozwiązania sieciowe typu jądro po tftp a / po nfs odpadają.
System będzie po prostu zainstalowany na osobnej partycji.

wirtualizacja..... Po jaki **** sie meczyc potem z przywracaniem systemu.

Ja nie wiem co czesc propozycji tutaj ma wspolnego z komputerm do "nauki". Sumy kontrolne obrazow... lol a co ma te sumy liczyc i robic ten obraz podczas ladowania?

Ostatnio edytowany przez qluk (2009-09-11 21:20:44)

Do zrobienia takiego komputera powinna wystarczy dobrze przygotowana wersja Knoppiksa z unionfs i jakiś skrypt do automatycznego przywracania domyślnych ustawień. W tym połączenie z internetem i montowanie odpowiednich partycji. Niech sobie pracują, kombinują i usuwają co chcą. Można w obudowie zamknąć drugi napęd w taki sposób aby nie można się było do niego dostać bez rozbierania obudowy. Powiem, że jeszcze takiego czegoś nie próbowałem ale to wpadło mi do głowy po przeczytaniu tego tematu.

Ps. Komputer zamknąć w biurku z dostępem do drugiego napędu i przynajmniej jednego portu usb.

Ostatnio edytowany przez fnmirk (2009-09-11 23:44:53)

A czy można jakoś zrobić, aby dane które zostaną zapisane przez użytkowników do /home były automatycznie usuwane przy wyłączaniu/włączaniu systemu z pominięciem konfiguracji(.*) która znajduje się w tym katalogu ? Czy aby szybciutko ktoś nie zapełnił dostępnego miejsca lepiej założyć quote(~100mb) na użytkowników i zmienić prawa dostępu do plików konfiguracyjnych w /home aby nikt nic nie namieszał?
Jeszcze zastanawiam czy dać pełny zapis/odczyt do /var/www i innych katalogów związanych z LAMP ?

Ach no i hasełko na BIOS na pewno będzie, więc skompromitowanie systemu za pomocą zewnętrznego nośnika z dystrybucją już nie będzie takie łatwe ;P.

Ostatnio edytowany przez sp3cu (2009-09-15 22:42:33)

Dobra wszystko już działa włącznie z serwerem LAMP. Jeszcze chciałbym ustawić ~/ tylko do odczytu z wyłączeniem ~/www. Zastanawiam się jak to zrobić aby miało głowę i nogi. Chcę uniknąć takich przypadków, że ktoś sobie zechcę usnąć ~/.* i całą konfiguracja (środowiska graf. i aplikacji) pójdzie na marne, nawet zmiana ikon czy motywu w graficznych narzędziach powinna kończyć się fiaskiem(odpowiednik komunikatem o braku uprawnień albo jeszcze lepiej - niczym). Czy ustawienie wszystkiego w katalogu domowym jako tylko do odczytu będzie dobrym rozwiązaniem czy jakoś inaczej, bardziej elegancko można to zrobić ?

bercik napisał(-a):

mozna sprobowac z $HOME ktorego wlascicielem bylby root i dawal tylko prawo odczytu ... ale IMHO po co zabraniac userowi zmiany czegokolwiek w swoim $HOME ... che sobie wywalic konfiguracje konta to ja wywali co za problem ...

Jedno konto użytkownika w systemie dla wszystkich używających komputera.
Lepiej będzie aby nikt nie mógł usunąć nawet panelu gnome.. dla zabawy.
Spróbuje nadać odpowiednie uprawnienia w wirtualnej maszynie, jak to się sprawdzi to spróbuje już na docelowym systemie.
Później na jakies 2 tyg. publicznie udostępnie używanie tak skonfigurowanego sytemu i zobaczę co jeszcze jest do doszlifowania. Jak nikt nic nie namiesza to NFS, dd i jazda z klonowaniem na reszte komputerów ;P.

tgR napisał(-a):

no chyba ze green ;) to wiesz ze jestem z toba ;D

Oczywiście, że green.
Zamierzenie celowe i świadome  (chociaż myślałem nad "grim") ;).

Ostatnio edytowany przez sp3cu (2009-10-14 14:59:34)