[castle] Re:[JT] Update Samba

[Arkady A Drovosekov]

On Wed, Dec 05, 2001 at 01:43:24PM +0300, Peter V. Saveliev wrote:
> >     Hi!Имею Castle b2.Пытался под рутом обновить Самбу и был обломлен
> > RSBAC'ом.Поиски от имени secoff в rsbac_menu ни к чему не привели,
> > так что в итоге пришлось перегрузиться на обычное ядро и обновиться
> > под ним.Вопрос: где в rsbac_menu устанавливается/сбрасывается защита
> > от перезаписи? С уважением,Илья Евсеев
а вот, кстати - смотрел скрипты из secfiles? там же есть enable/disable-install

> rsbac-овском ядре мне тоже не удалось воспользоваться rpm-ом. И не
> удалось запретить su обычным юзерам и secoff. Хотя предпринимал
> нешуточные походы на эти задачи. Так и живу пока по-старинке - руту хом
а чего с su? делаешь
auth_set_cap FILE add /bin/su 0 399
auth_set_cap FILE add /bin/su 410 65535
и все. Или я не о том? А если запретить надо, то при наличии pam - лехко:
делаешь так (в /etc/pam.d/su)

auth    required    pam_listfile.so onerr=succeed item=ruser sense=allow file=/etc/pam.d/su-from.allow
# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so
auth    sufficient pam_listfile.so onerr=succeed item=user sense=allow file=/etc/pam.d/su-to.allow

в su-from - кто может делать su
в su-to - на кого им (из su-from) можно делать su

можно еще как-нибудь усложнить ;-)

> /bin/false, остальное - sudo. Иногда загружаю rsbac и в очередной раз
> убеждаюсь в своей непроходимой глупости.
;-)
-- 
Best regards,
Arkady