[Ayuda] I need help

Max Valdez maxvalde en fis.unam.mx
Mar Ago 10 15:55:08 CDT 2004 

On Tuesday 10 August 2004 15:37, you wrote:
> Max Valdez wrote:
> >A mi me parece que no te permite hacer eso, pero solo es a primera vista,
> >nunca lo he usado, y no creo que nadie en su sano juicio quisiera
> > implementar tales medidas de seguridad, a menos de que tenga un proyecto
> > realmente critico, aun asi, pobre de aquel que sea tan paranoico.
>
> cada quién tiene sus razones.
> Además esto de las ACLs no es nada nuevo, lo he visto desde tiempos del
> Windows NT 4 y si lo usan algunas personas.
>
> >De hecho, pensando en como esta diseñado el sistema de privilegios, seria
> >complicado, porque para que solo puedas usar un par de aplicaciones,
> > tendrias que enjaular al usuario, no permitirle usar nada mas que el
> > shell, y definir de alguna manera cuales son los archivos ejecutables que
> > puede lanzar,
>
> Todo eso te lo da la ACL sin necesidad de enjaular al usuario.
Tecnicamente es enjaularlo por defaul, o no?
>
> También se puede con permisos UGO normales de UNIX pero primero tienes
> que poner todos los archivos a nombre de un usuario y un grupo
> específicos y quitarle los permisos de ejecución al resto del mundo.
> Luego pones esos dos procesos que te interesan en un nuevo grupo en
> donde se encuentre el usuario en cuestión y mágicamente ese usuario va a
> poder ejecutar esos dos procesos. Es importante notar que también
> conviene que le des a ese usuario permiso de ejecutar su propio shell.
Se me ocurre que la unica manera sensata de hacer lo que pide el correo 
original es algo como lo que tu dices, y una quota==0, para que no pueda 
meter archivos al sistema. Con los concecuentes problemas de hacer eso.

>
> > lo
> >cual segun mi primera analizada no se puede hacer facilmente, y las
> > maneras de hacerlo seria eludibles.
>
> Siempre hay más de una manera de hacer las cosas (decía Perl)...
>
> >Por eso mi recomendacion era mediante una interfase de web, permitirle a
> > los usuarios lanzar solo las aplicaciones que la interfase permite, de
> > esa manera te quitas el problema de los hilos, y de que no ejecute
> > cualquier otra aplicacion.
>
> No hace falta complicarse tanto la vida.
Si ya estas pensando en un sistema de seguridad tan engorroso, pues de una vez 
hazlo infalible no ? en mi opinion, es mas facil crear una interfase (al fin 
son solo 2 comandos los que se van a utilizar), que implementar un sistema de 
seguridad, que seguro va a romper con muchas aplicaciones en la maquina que 
da los servicios.

Mi prediccion es que quiere permitirle a usuarios correr robots de irc, o algo 
parecido. Si quisiera hacer un kiosco, esta perdido.

Max
-- 
Linux garaged 2.6.7-rc3-mm2 #2 Sat Jun 19 15:43:32 CDT 2004 i686 Intel(R) 
Pentium(R) 4 CPU 2.80GHz GenuineIntel GNU/Linux
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GS/S d- s: a-29 C++(+++) ULAHI+++ P+ L++>+++ E--- W++ N* o-- K- w++++ O- M-- 
V-- PS+ PE Y-- PGP++ t- 5- X+ R tv++ b+ DI+++ D- G++ e++ h+ r+ z**
------END GEEK CODE BLOCK------
gpg-key: http://garaged.homeip.net/gpg-key.txt

Más información sobre la lista de distribución Ayuda