Linux запрет выключения/перезагрузки

Sergey Anohin написал(а) к Vladimir Bobarykin в May 17 14:08:19 по местному времени:

Нello Vladimir* *Bobarykin
MS>> Пpогpаммка, котоpая тебе нужна, называется molly-guard.
MS>> По сути это несколько скpиптов - обёpтка к pеальным командам,
MS>> котоpая
VB> Ну, загуглили тут за меня, скинули ссылку:
VB> https://access.redhat.com/soluti ons/1580343 - более менее подходит.
VB> Ладно, мне главное было узнать, что штатными
VB> сpедствами pуту пеpезагpузку не огpаничишь, ни пpавкой ядpа, ни чем
VB> дpугим, кpоме как охpанным софтом или костыликом, котоpые, к сожалению
VB> можно отключить.
VB> p.s: пасиб всем ответившим

Если у тебя задача пpикpыть заход в сингл мод, может тебе шифpование запилить без автомонтиpования? :)

Bye, Vladimir Bobarykin, 31 мая 17
--- FIPS/IP <build 01.14>

Alexey Vissarionov написал(а) к Anatoliy Sablin в Jun 17 02:50:50 по местному времени:

Доброго времени суток, Anatoliy!
30 May 2017 18:31:02, ты -> Vladimir Bobarykin:

VB>> Народ, подскажите, если не трудно - как сделать запрет всем,
VB>> включая рута, на рибут/шатдаун 7ой центоси, любыми способами,
VB>> оставив только возможность рибута с консоли/клавиатуры по
VB>> ctrl+alt+del?
AS> Удали /sbin/halt. ;)

Не поможет.
Поц каска: echo b > /proc/sysrq_trigger

AS> Рут на то он и рут, что может делать абсолютно что угодно.

Истинно глаголешь! // (ц) попугай из анекдота

AS> И нужно пояснение, чего хочет автор, с одной стороны забрать у
AS> всех право на ребут, с другой - оставить. Сударь, определитесь,
AS> что вам нужно?

Неукоснительное соблюдение взаимоисключающих параграфов, разумеется :-)


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Нет стандарта, кроме POSIX, и man(1) - пророк его!
--- /bin/vi

Alexey Vissarionov написал(а) к Vladimir Bobarykin в Jun 17 02:55:00 по местному времени:

Доброго времени суток, Vladimir!
31 May 2017 02:07:56, ты -> Anatoliy Sablin:

VB> Нужен полный запрет удаленной перезагрузки сервера, никакими
VB> средствами, чтобы перезагрузить его можно было, только подойдя к
VB> серверу физически нажав на клавиатуре ctrl+alt+del.

Не бывает. Ибо "три веселых кнопки" обрабатываются в userspace.

VB> Вот, аналогия - например забыл пароль рутовый - стандартно грузишься
VB> в сингле во фряхе, или в емерженси в той же центоси, подмонтируешь
VB> раздел, меняешь пароль рута. Но, при этом такую фишку можно отключить
VB> парой строк в ядре и перенастройкий tty. И всё, хрен ты сменишь
VB> забытый пароль.

Хи-хи...

VB> Можно ли аналогичную операцию с перезагрузкой сделать - есть ли какая
VB> хитрая опция, которую надо прописать в ядро, пересобрать, или еще
VB> что-то подобное, чтобы отрубить возможность перезагрузки командами
VB> (не считая systemd-guard, т.к его можно выключить и всё равно
VB> перезагрузить). Чтобы осталась возможность перезагрузки только с
VB> клавиатуры.

Нет. Вариантов всего два:
1. Оставить только кнопку reset (геморройно и без гарантий).
2. Жить с тем, что есть.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Чем меньше вы знаете, тем больше я зарабатываю
--- /bin/vi

Alexey Vissarionov написал(а) к Anatoliy Sablin в Jun 17 03:00:00 по местному времени:

Доброго времени суток, Anatoliy!
31 May 2017 06:24:48, ты -> Vladimir Bobarykin:

AS>>> Рут на то он и рут, что может делать абсолютно что угодно.
^^^^^^^^^^^^^^^^^^
VB>> Нужен полный запрет удаленной перезагрузки сервера, никакими
VB>> средствами, чтобы перезагрузить его можно было, только подойдя к
VB>> серверу физически нажав на клавиатуре ctrl+alt+del.
AS> Наверное, правильным решением будет ограничивать пользователей через
AS> polkit (пример https://www.centos.org/forums/viewtopic.php?t=51963).

rpm -e polkit
Finita бля comedia :-)

AS> Есть ещё утилита molly-guard, которая не даёт вызвать poweroff,
AS> shutdown, reboot, suspend и т. д.

Еще selinux есть, ага... только опять же см. твою вышеотмеченную цитату.

AS> И последний вариант - удаленных пользователей заводить в песочницу
AS> наподобие rssh, mysecureshell.

Мне известна ровно одна "песочница", которая может такое обеспечить.

AS> Я склоняюсь к первому варианту.

Нохлый домер.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Кто с чем к нам зачем - тот от того и того
--- /bin/vi

Alexey Vissarionov написал(а) к Alexandr Kruglikov в Jun 17 03:04:44 по местному времени:

Доброго времени суток, Alexandr!
31 May 2017 11:07:50, ты -> Maxim Sokolsky:

MS>> Программка, которая тебе нужна, называется molly-guard.

От школоты, возможно, и спасет...

AK> А при чём тут sudo? PermitRootLogin yes

В приличных местах за такое увольняют. А в неприличных - бьют в рыло.

s/yes/without-password/ и никак иначе (то есть, рута по паролю не пускать).


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... - Что вы чувствуете, когда стреляете в людей? - Отдачу.
--- /bin/vi

Alexey Vissarionov написал(а) к Alexey Osiyuk в Jun 17 03:07:40 по местному времени:

Доброго времени суток, Alexey!
31 May 2017 12:47:18, ты -> Vladimir Bobarykin:

VB>> Ну, загуглили тут за меня, скинули ссылку:
VB>> https://access.redhat.com/solutions/1580343 - более менее подходит.
AO> Есть еще sysrq, его, конечно, можно выключить через sysctl, либо
AO> вообще при сборке ядра отключить.

Теоретически - таки да, можно. На практике мне такие дураки не встречались.

AO> Но, сейчас оно собрано с CONFIGMAGICSYSRQ по умолчанию и ничего
AO> тебя не спасет от рута, который может сказать
AO> echo b > /proc/sysrq-trigger

Ну... извернуться, конечно, можно. Но, опять же, лучше так не делать :-)


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Опыт и алкоголизм всегда победят молодость и энтузиазм
--- /bin/vi

Alexey Vissarionov написал(а) к Sergey Anohin в Jun 17 03:10:00 по местному времени:

Доброго времени суток, Sergey!
31 May 2017 14:08:18, ты -> Vladimir Bobarykin:

VB>> Ладно, мне главное было узнать, что штатными сpедствами pуту
VB>> пеpезагpузку не огpаничишь, ни пpавкой ядpа, ни чем дpугим,
VB>> кpоме как охpанным софтом или костыликом, котоpые, к сожалению
VB>> можно отключить.
SA> Если у тебя задача пpикpыть заход в сингл мод, может тебе
SA> шифpование запилить без автомонтиpования? :)

В этом случае понадобится либо стартовать с минимальной системой (с незашифрованного /), а потом запускать losetup (про потерю данных при использовании dm-crypt все в курсе, ага?) и монтировать /home, либо заморачиваться загрузкой со съемного носителя.

Но у TS другая задача, которая, насколько я пони мяу, состоит в том, чтобы оградить сервер от шаловливых ручек коллег, которые уже имеют туда доступ.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Профессионализм - умение оценить меру своей некомпетентности
--- /bin/vi

Anatoliy Sablin написал(а) к Alexey Vissarionov в Jun 17 06:22:36 по местному времени:

Привет,

Нello, Alexey Vissarionov.
On 01.06.17 3:00 you wrote:

AV> ^^^^^^^^^^^^^^^^^^
VB>>> Нужен полный запрет удаленной перезагрузки сервера, никакими
VB>>> средствами, чтобы перезагрузить его можно было, только подойдя к
VB>>> серверу физически нажав на клавиатуре ctrl+alt+del.
AS>> Наверное, правильным решением будет ограничивать пользователей
AS>> через polkit (пример
AS>> https://www.centos.org/forums/viewtopic.php?t=51963).
AV> rpm -e polkit Finita бля comedia :-)

Ваши варианты?

AS>> Есть ещё утилита molly-guard, которая не даёт вызвать poweroff,
AS>> shutdown, reboot, suspend и т. д.
AV> Еще selinux есть, ага... только опять же см. твою вышеотмеченную
AV> цитату.
Т. е. это нормальная ситуация, когда на сервере в продакшене отключен selinux? Или ты про то, что встречаются такие индивидуумы?
AS>> И последний вариант - удаленных пользователей заводить в
AS>> песочницу наподобие rssh, mysecureshell.
AV> Мне известна ровно одна "песочница", которая может такое
AV> обеспечить.

ОС на другом железе? :)


--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Sergey Anohin написал(а) к Alexey Vissarionov в Jun 17 08:16:15 по местному времени:

Нello Alexey* *Vissarionov
SA>> Если у тебя задача пpикpыть заход в сингл мод, может тебе
SA>> шифpование запилить без автомонтиpования? :)
AV> В этом случае понадобится либо стаpтовать с минимальной системой (с
AV> незашифpованного /), а потом запускать losetup (пpо потеpю данных пpи
AV> использовании dm-crypt все в куpсе, ага?) и монтиpовать /home, либо
AV> замоpачиваться загpузкой со съемного носителя.
AV> Но у TS дpугая задача, котоpая, насколько я пони мяу, состоит в том,
AV> чтобы огpадить сеpвеp от шаловливых pучек коллег, котоpые уже имеют
AV> туда доступ.

Наш стаpинный местный линуксоид пpедложил запаpолить гpаб

Bye, Alexey Vissarionov, 01 июня 17
--- FIPS/IP <build 01.14>

Alexey Vissarionov написал(а) к Anatoliy Sablin в Jun 17 09:06:00 по местному времени:

Доброго времени суток, Anatoliy!
01 Jun 2017 06:22:36, ты -> мне:

AS>>> И последний вариант - удаленных пользователей заводить в
AS>>> песочницу наподобие rssh, mysecureshell.
AV>> Мне известна ровно одна "песочница", которая может такое
AV>> обеспечить.
AS> ОС на другом железе? :)

VPS на основе OpenVZ.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Нет стандарта, кроме POSIX, и man(1) - пророк его!
--- /bin/vi