Segurança no Linux (Desktop)

Question

Bom, acho que a maioria de n&oacute;s conhece sobre esse tema, portanto n&atilde;o vim para discutir o que a gente l&ecirc; ou fala geralmente. Quero me centrar numa certa &aacute;rea, que &eacute; a seguran&ccedil;a no desktop, que eu vejo falar pouco.

O problema todo da seguran&ccedil;a entra, quando temos um usu&aacute;rio estranho ao sistema. Comecei a pensar nisso, quando fui comentado da possibilidade de implantar o Linux em um dos laborat&oacute;rios da minha faculdade.

Estarei com mais um colega, apresentando um projeto para implanta&ccedil;&atilde;o do sistema, as vantagens, essas coisas. O que me preocupo n&atilde;o &eacute; o sistema em si, mas com os usu&aacute;rios. De fato, atualmente todo mundo leva jogos, algum cliente de msn, essa coisas para aula, provocando as vezes, um baixo aproveitamento das aulas.

Gostaria de no projeto, citar como fariamos isso. Por&eacute;m, todos sabemos que podemos baixar algum cliente que n&atilde;o precise compilar, s&oacute; executar, principalmente com os jogos. Sei tamb&eacute;m que se os arquivos n&atilde;o tiverem a permiss&atilde;o x, n&atilde;o poder&atilde;o ser executados.

Gostaria de saber, se existe algum jeito de evitar que o usu&aacute;rio d&ecirc; essa permiss&atilde;o a um arquivo. Pensei em tirar o chmod do usu&aacute;riom, por&eacute;m lembrei que se ele baixar um tarball, quando ele extrair os arquivos, os mesmo j&aacute; podem estar com permiss&atilde;o de execu&ccedil;&atilde;o, fazendo com que ele consiga executar do mesmo jeito.

Algu&eacute;m teria alguma id&eacute;ia nesse caso?

Desculpem se o texto ficou grande ou cansativo, mas minha d&uacute;vida pode at&eacute; mesmo interessar outras pessoas que possam querer implantar o sistema em algum lugar.

Obrigado  :D

Answer

1. Arquivo q jah vem com permiss&atilde;o de execu&ccedil;&atilde;o? Sou noob em linux ainda, mas q eu saiba, as permiss&otilde;es s&atilde;o pra cada classe de usu&aacute;rios (dono, grupo ou todos), e somente o dono d&aacute; a permiss&atilde;o, n&atilde;o d&aacute; pra vir com ela... ME CORRIJAM SE EU ESTIVER ERRADO, POR FAVOR.

2. N&atilde;o h&aacute; como usu&aacute;rios instalarem programas e danificarem o sistema se eles n&atilde;o tiverem a senha de administrador ou estiverem com o sudo habilitado para eles. Por isso tamb&eacute;m q a seguran&ccedil;a no linux eh mto maior q no windows. O unico caso em q isso fura eh no ubuntu, onde a senha d administrador eh a do proprio usuario q esta no pc, mas acredito q d&ecirc; pra tirar isso. E digo mais, acredito q seja retirar os grupos secundarios relativos &agrave; adminsitra&ccedil;&atilde;o do sistema habilitados no usuario.

Answer

1. Mas se voc&ecirc; descompactar um tarball (arquivo arquivado ou talvez compactado com o tar), ser&aacute; com as permiss&otilde;es de dono que estavam no arquivo orginal (digamos 755), ou seja, como meu usu&aacute;rio descompactou o arquivo, as permiss&otilde;es s&atilde;o para o dono (no caso eu) que descompactou o arquivo.

2. Eu sei que n&atilde;o d&aacute; pra instalar, mas tem v&aacute;rios programas por ai que &eacute; s&oacute; tu baixar, descompactar e executar. N&atilde;o precisa instalar. &Eacute; com esses que me preocupo :wink:

Answer

Talvez  o l7-filter possa ajudar:
http://l7-filter.sourceforge.net/

N&atilde;o creio que seja a solu&ccedil;&atilde;o pronta para  o que 
voc&ecirc; quer e sim algo que pode ajudar, talvez combinado 
com squid. Com isso voc&ecirc; barra msn, bittorrent, edonkey, 
rede fasttrack, gnutella, irc, skype, v&aacute;rios jogos, etc.
Voc&ecirc; pode ainda tentar criar outros protocolos. 
(veja a documenta&ccedil;&atilde;o ou /etc/l7-protocols-xxx/HOWTO)

Eu tamb&eacute;m configuraria para que  o diret&oacute;rio $HOME do usu&aacute;rio s&oacute;
pudesse ser lido por ele. Tamb&eacute;m pode ser interessante que 
determinados arquivos de configura&ccedil;&atilde;o do sistema tenham permiss&atilde;o 
de leitura apenas para quem precisa l&ecirc;-los.

Answer

droterdam, obrigadom n&atilde;o conhecia esse l7-filter, n&atilde;o conhecia e parece ser interessante.

Por&eacute;m onde pretendemos implementar, j&aacute; tem um squid rodando algumas coisas ele bloqueia, outras n&atilde;o, mas essa parte eu vou ver depois. O que me fico pensando &eacute; outras aplica&ccedil;&otilde;es que n&atilde;o necessitam rede/internet, como jogos e outros inutilit&aacute;rios, para que o pessoal n&atilde;o fique baixando e quando ve algum script apaga a pasta do usu&aacute;rio e ele come&ccedil;a a meter pilha e tal. Sem ele pode executar nada na pasta dele, ele s&oacute; pode salvar e abrir documentos, que &eacute; o que eu estava pensando se era poss&iacute;vel de fazer. Evitar que o usu&aacute;rio execute arquivos dentro do seu home.

Answer

N&atilde;o esque&ccedil;a de usar o quota tamb&eacute;m, para limitar o espa&ccedil;o de cada usu&aacute;rio.... assim, eles n&atilde;o v&atilde;o poder instalar America's Army, por exemplo, que tem 1,8GB...
Fique com Deus.

Answer

No /etc/fstab voc&ecirc; tira a permiss&atilde;o de execu&ccedil;&atilde;o
 de programas na parti&ccedil;&atilde;o /home com a op&ccedil;&atilde;o noexec.
A&iacute; o usu&aacute;rio mais espertinho vai mover seu script  ou programa para
o diret&oacute;rio /tmp. 
Nada mal se /tmp ficar numa parti&ccedil;&atilde;o separada para permitir 
maior controle.

Se  o Linux n&atilde;o for Slackware d&ecirc; uma olhada em /etc/security.
Tem algumas coisas que voc&ecirc; pode restringir aos usu&aacute;rios espertinhos e que pode te ajudar.
Por exemplo, em limits.conf veja o que voc&ecirc; pode limitar:
#        - core - limits the core file size (KB)
#        - data - max data size (KB)
#        - fsize - maximum filesize (KB)
#        - memlock - max locked-in-memory address space (KB)
#        - nofile - max number of open files
#        - rss - max resident set size (KB)
#        - stack - max stack size (KB)
#        - cpu - max CPU time (MIN)
#        - nproc - max number of processes
#        - as - address space limit
#        - maxlogins - max number of logins for this user
#        - priority - the priority to run user process with
#        - locks - max number of file locks the user can hold

Answer

droterdam, usando o noexec, n&atilde;o tem nem como o usu&aacute;rio dar permiss&atilde;o de execu&ccedil;&atilde;o em um arquivo que j&aacute; esteja l&aacute;?

Answer

Estou pensando.. Se vc colocar td o q quiser no /home e depois mudar as permiss&otilde;es deixando o root como dono do /home dele e sem permiss&otilde;es de escrita, ser&aacute; que n&atilde;o resolve? O problema seria o /tmp, que se bloquear pode acabar dando problema em alguns programas..

Answer

N&atilde;o, mas eu quero que os usu&aacute;rios possam gravar seus dados, s&oacute; n&atilde;o quero que eles executem.

Answer

RVR777, mas mesmo q eles executem, v&atilde;o no m&aacute;ximo ferrar com os pr&oacute;prios usu&aacute;rios, sem a senha d admin e nem sudo, n&atilde;o podem danificar o sistema todo. E se fizerem isso (danificar pr&oacute;pria conta), ao pedir ajuda, v&atilde;o ter q admitir q fizeram besteira e passar vergonha... N&atilde;o vejo nd d mal nisso... hehehe   :mrgreen:
Eles soh podem instalar (extrair) progs pra dentro da home deles mesmos, e esses progs soh podem alterar dentro da home e a inicializa&ccedil;&atilde;o dele, jah q ter&atilde;o o UID do mesmo usu&aacute;rio, ou seja, sem caracteristica d admin!

E pra resolver a cagada q eles fizeram com os proprios users, basta um userdel e useradd novamente... :)

Answer

que tal monitorar os logs e, quem estiver instalando programas, vc pode bater um papo amigavel do tipo 'eu vou cortar a tua conta e apagar todos os teus emails se tu instalar mais um joguinho seu $#%$#%' ?

NOVO BLOG:
http://pacman.blog.br/

Answer

freeaak, n&atilde;o estou realmente se eles v&atilde;o acabar com os usu&aacute;rios deles, pois como voc&ecirc; mesmo disso, isso &eacute; f&aacute;cil de reverter e tem poucos problemas (pra mim, ele pode perder tudo)...

O que quero &eacute; que n&atilde;o fique executando programas como jogos e outros aplicativos, que n&atilde;o sejam usados nas aulas. Essa &eacute; uma das coisas que iria chamar aten&ccedil;&atilde;o de quem estamos mostrando o que &eacute; poss&iacute;vel fazer na migra&ccedil;&atilde;o :wink:

Answer

peczenyj, existe log para instala&ccedil;&atilde;o, mas ele nem podem instalar, estou preocupado se descompactarem e rodar, isso n&atilde;o fica nos logs... :roll:

Answer

$ sudo kill user -slowly -painfully

  :mrgreen:

Ferramentas

Mover Tópico