#11
|
|||
|
|||
Re: Linux запpет выключения/пеpезагpузки
Sergey Anohin написал(а) к Vladimir Bobarykin в May 17 14:08:19 по местному времени:
Нello Vladimir* *Bobarykin MS>> Пpогpаммка, котоpая тебе нужна, называется molly-guard. MS>> По сути это несколько скpиптов - обёpтка к pеальным командам, MS>> котоpая VB> Ну, загуглили тут за меня, скинули ссылку: VB> https://access.redhat.com/soluti ons/1580343 - более менее подходит. VB> Ладно, мне главное было узнать, что штатными VB> сpедствами pуту пеpезагpузку не огpаничишь, ни пpавкой ядpа, ни чем VB> дpугим, кpоме как охpанным софтом или костыликом, котоpые, к сожалению VB> можно отключить. VB> p.s: пасиб всем ответившим Если у тебя задача пpикpыть заход в сингл мод, может тебе шифpование запилить без автомонтиpования? :) Bye, Vladimir Bobarykin, 31 мая 17 --- FIPS/IP <build 01.14> |
#12
|
|||
|
|||
Linux запрет выключения/перезагрузки
Alexey Vissarionov написал(а) к Anatoliy Sablin в Jun 17 02:50:50 по местному времени:
Доброго времени суток, Anatoliy! 30 May 2017 18:31:02, ты -> Vladimir Bobarykin: VB>> Народ, подскажите, если не трудно - как сделать запрет всем, VB>> включая рута, на рибут/шатдаун 7ой центоси, любыми способами, VB>> оставив только возможность рибута с консоли/клавиатуры по VB>> ctrl+alt+del? AS> Удали /sbin/halt. ;) Не поможет. Поц каска: echo b > /proc/sysrq_trigger AS> Рут на то он и рут, что может делать абсолютно что угодно. Истинно глаголешь! // (ц) попугай из анекдота AS> И нужно пояснение, чего хочет автор, с одной стороны забрать у AS> всех право на ребут, с другой - оставить. Сударь, определитесь, AS> что вам нужно? Неукоснительное соблюдение взаимоисключающих параграфов, разумеется :-) -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Нет стандарта, кроме POSIX, и man(1) - пророк его! --- /bin/vi |
#13
|
|||
|
|||
Linux запрет выключения/перезагрузки
Alexey Vissarionov написал(а) к Vladimir Bobarykin в Jun 17 02:55:00 по местному времени:
Доброго времени суток, Vladimir! 31 May 2017 02:07:56, ты -> Anatoliy Sablin: VB> Нужен полный запрет удаленной перезагрузки сервера, никакими VB> средствами, чтобы перезагрузить его можно было, только подойдя к VB> серверу физически нажав на клавиатуре ctrl+alt+del. Не бывает. Ибо "три веселых кнопки" обрабатываются в userspace. VB> Вот, аналогия - например забыл пароль рутовый - стандартно грузишься VB> в сингле во фряхе, или в емерженси в той же центоси, подмонтируешь VB> раздел, меняешь пароль рута. Но, при этом такую фишку можно отключить VB> парой строк в ядре и перенастройкий tty. И всё, хрен ты сменишь VB> забытый пароль. Хи-хи... VB> Можно ли аналогичную операцию с перезагрузкой сделать - есть ли какая VB> хитрая опция, которую надо прописать в ядро, пересобрать, или еще VB> что-то подобное, чтобы отрубить возможность перезагрузки командами VB> (не считая systemd-guard, т.к его можно выключить и всё равно VB> перезагрузить). Чтобы осталась возможность перезагрузки только с VB> клавиатуры. Нет. Вариантов всего два: 1. Оставить только кнопку reset (геморройно и без гарантий). 2. Жить с тем, что есть. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Чем меньше вы знаете, тем больше я зарабатываю --- /bin/vi |
#14
|
|||
|
|||
Linux запрет выключения/перезагрузки
Alexey Vissarionov написал(а) к Anatoliy Sablin в Jun 17 03:00:00 по местному времени:
Доброго времени суток, Anatoliy! 31 May 2017 06:24:48, ты -> Vladimir Bobarykin: AS>>> Рут на то он и рут, что может делать абсолютно что угодно. ^^^^^^^^^^^^^^^^^^ VB>> Нужен полный запрет удаленной перезагрузки сервера, никакими VB>> средствами, чтобы перезагрузить его можно было, только подойдя к VB>> серверу физически нажав на клавиатуре ctrl+alt+del. AS> Наверное, правильным решением будет ограничивать пользователей через AS> polkit (пример https://www.centos.org/forums/viewtopic.php?t=51963). rpm -e polkit Finita бля comedia :-) AS> Есть ещё утилита molly-guard, которая не даёт вызвать poweroff, AS> shutdown, reboot, suspend и т. д. Еще selinux есть, ага... только опять же см. твою вышеотмеченную цитату. AS> И последний вариант - удаленных пользователей заводить в песочницу AS> наподобие rssh, mysecureshell. Мне известна ровно одна "песочница", которая может такое обеспечить. AS> Я склоняюсь к первому варианту. Нохлый домер. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Кто с чем к нам зачем - тот от того и того --- /bin/vi |
#15
|
|||
|
|||
Linux запрет выключения/перезагрузки
Alexey Vissarionov написал(а) к Alexandr Kruglikov в Jun 17 03:04:44 по местному времени:
Доброго времени суток, Alexandr! 31 May 2017 11:07:50, ты -> Maxim Sokolsky: MS>> Программка, которая тебе нужна, называется molly-guard. От школоты, возможно, и спасет... AK> А при чём тут sudo? PermitRootLogin yes В приличных местах за такое увольняют. А в неприличных - бьют в рыло. s/yes/without-password/ и никак иначе (то есть, рута по паролю не пускать). -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... - Что вы чувствуете, когда стреляете в людей? - Отдачу. --- /bin/vi |
#16
|
|||
|
|||
Linux запрет выключения/перезагрузки
Alexey Vissarionov написал(а) к Alexey Osiyuk в Jun 17 03:07:40 по местному времени:
Доброго времени суток, Alexey! 31 May 2017 12:47:18, ты -> Vladimir Bobarykin: VB>> Ну, загуглили тут за меня, скинули ссылку: VB>> https://access.redhat.com/solutions/1580343 - более менее подходит. AO> Есть еще sysrq, его, конечно, можно выключить через sysctl, либо AO> вообще при сборке ядра отключить. Теоретически - таки да, можно. На практике мне такие дураки не встречались. AO> Но, сейчас оно собрано с CONFIGMAGICSYSRQ по умолчанию и ничего AO> тебя не спасет от рута, который может сказать AO> echo b > /proc/sysrq-trigger Ну... извернуться, конечно, можно. Но, опять же, лучше так не делать :-) -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Опыт и алкоголизм всегда победят молодость и энтузиазм --- /bin/vi |
#17
|
|||
|
|||
Linux запpет выключения/пеpезагpузки
Alexey Vissarionov написал(а) к Sergey Anohin в Jun 17 03:10:00 по местному времени:
Доброго времени суток, Sergey! 31 May 2017 14:08:18, ты -> Vladimir Bobarykin: VB>> Ладно, мне главное было узнать, что штатными сpедствами pуту VB>> пеpезагpузку не огpаничишь, ни пpавкой ядpа, ни чем дpугим, VB>> кpоме как охpанным софтом или костыликом, котоpые, к сожалению VB>> можно отключить. SA> Если у тебя задача пpикpыть заход в сингл мод, может тебе SA> шифpование запилить без автомонтиpования? :) В этом случае понадобится либо стартовать с минимальной системой (с незашифрованного /), а потом запускать losetup (про потерю данных при использовании dm-crypt все в курсе, ага?) и монтировать /home, либо заморачиваться загрузкой со съемного носителя. Но у TS другая задача, которая, насколько я пони мяу, состоит в том, чтобы оградить сервер от шаловливых ручек коллег, которые уже имеют туда доступ. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Профессионализм - умение оценить меру своей некомпетентности --- /bin/vi |
#18
|
|||
|
|||
Linux запрет выключения/перезагрузки
Anatoliy Sablin написал(а) к Alexey Vissarionov в Jun 17 06:22:36 по местному времени:
Привет, Нello, Alexey Vissarionov. On 01.06.17 3:00 you wrote: AV> ^^^^^^^^^^^^^^^^^^ VB>>> Нужен полный запрет удаленной перезагрузки сервера, никакими VB>>> средствами, чтобы перезагрузить его можно было, только подойдя к VB>>> серверу физически нажав на клавиатуре ctrl+alt+del. AS>> Наверное, правильным решением будет ограничивать пользователей AS>> через polkit (пример AS>> https://www.centos.org/forums/viewtopic.php?t=51963). AV> rpm -e polkit Finita бля comedia :-) Ваши варианты? AS>> Есть ещё утилита molly-guard, которая не даёт вызвать poweroff, AS>> shutdown, reboot, suspend и т. д. AV> Еще selinux есть, ага... только опять же см. твою вышеотмеченную AV> цитату. Т. е. это нормальная ситуация, когда на сервере в продакшене отключен selinux? Или ты про то, что встречаются такие индивидуумы? AS>> И последний вариант - удаленных пользователей заводить в AS>> песочницу наподобие rssh, mysecureshell. AV> Мне известна ровно одна "песочница", которая может такое AV> обеспечить. ОС на другом железе? :) -- Best regards! Posted using Нotdoged on Android --- Нotdoged/2.13.5/Android |
#19
|
|||
|
|||
RE: Linux запpет выключения/пеpезагpузки
Sergey Anohin написал(а) к Alexey Vissarionov в Jun 17 08:16:15 по местному времени:
Нello Alexey* *Vissarionov SA>> Если у тебя задача пpикpыть заход в сингл мод, может тебе SA>> шифpование запилить без автомонтиpования? :) AV> В этом случае понадобится либо стаpтовать с минимальной системой (с AV> незашифpованного /), а потом запускать losetup (пpо потеpю данных пpи AV> использовании dm-crypt все в куpсе, ага?) и монтиpовать /home, либо AV> замоpачиваться загpузкой со съемного носителя. AV> Но у TS дpугая задача, котоpая, насколько я пони мяу, состоит в том, AV> чтобы огpадить сеpвеp от шаловливых pучек коллег, котоpые уже имеют AV> туда доступ. Наш стаpинный местный линуксоид пpедложил запаpолить гpаб Bye, Alexey Vissarionov, 01 июня 17 --- FIPS/IP <build 01.14> |
#20
|
|||
|
|||
Linux запрет выключения/перезагрузки
Alexey Vissarionov написал(а) к Anatoliy Sablin в Jun 17 09:06:00 по местному времени:
Доброго времени суток, Anatoliy! 01 Jun 2017 06:22:36, ты -> мне: AS>>> И последний вариант - удаленных пользователей заводить в AS>>> песочницу наподобие rssh, mysecureshell. AV>> Мне известна ровно одна "песочница", которая может такое AV>> обеспечить. AS> ОС на другом железе? :) VPS на основе OpenVZ. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Нет стандарта, кроме POSIX, и man(1) - пророк его! --- /bin/vi |