Linux запрет выключения/перезагрузки

Vladimir Bobarykin написал(а) к All в May 17 17:37:50 по местному времени:

Здpавствуй, All!

Народ, подскажите, если не трудно - как сделать запрет всем, включая рута, на рибут/шатдаун 7ой центоси, любыми способами, оставив только возможность рибута с консоли/клавиатуры по ctrl+alt+del?

С уважением - Vladimir
... Не пью, не курю. От слова "Жопа" падаю в обморок...
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Anatoliy Sablin написал(а) к Vladimir Bobarykin в May 17 18:31:03 по местному времени:

Привет,

Нello, Vladimir Bobarykin.
On 30.05.17 17:37 you wrote:

VB> Народ, подскажите, если не трудно - как сделать запрет всем,
VB> включая рута, на рибут/шатдаун 7ой центоси, любыми способами,
VB> оставив только возможность рибута с консоли/клавиатуры по
VB> ctrl+alt+del?

Удали /sbin/halt. ;)
Рут на то он и рут, что может делать абсолютно что угодно.
И нужно пояснение, чего хочет автор, с одной стороны забрать у всех право на ребут, с другой - оставить. Сударь, определитесь, что вам нужно?

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Vladimir Bobarykin написал(а) к Anatoliy Sablin в May 17 02:07:56 по местному времени:

Здpавствуй, Anatoliy!

Вторник 30 Мая 2017 18:31, ты писал(а) мне, в сообщении по ссылке area://ru.linux?msgid=2:5020/2140.704+7aab6902:

VB>> Народ, подскажите, если не трудно - как сделать запрет всем,
VB>> включая рута, на рибут/шатдаун 7ой центоси, любыми способами,
VB>> оставив только возможность рибута с консоли/клавиатуры по
VB>> ctrl+alt+del?
AS> Удали /sbin/halt. ;)
Если б было всё так просто :) Как в старых ОСях. Теперь это просто симлинк на systemctl... От сюда и засада.

AS> Рут на то он и рут, что может делать абсолютно что угодно.
AS> И нужно пояснение, чего хочет автор, с одной стороны забрать у всех
AS> право на ребут, с другой - оставить. Сударь, определитесь, что вам
AS> нужно?
Нужен полный запрет удаленной перезагрузки сервера, никакими средствами, чтобы перезагрузить его можно было, только подойдя к серверу физически нажав на клавиатуре ctrl+alt+del.
Я чет прямо в тупике с этим systemd :) Неужели анрил?

Вот, аналогия - например забыл пароль рутовый - стандартно грузишься в сингле во фряхе, или в емерженси в той же центоси, подмонтируешь раздел, меняешь пароль рута. Но, при этом такую фишку можно отключить парой строк в ядре и перенастройкий tty. И всё, хрен ты сменишь забытый пароль.

Можно ли аналогичную операцию с перезагрузкой сделать - есть ли какая хитрая опция, которую надо прописать в ядро, пересобрать, или еще что-то подобное, чтобы отрубить возможность перезагрузки командами (не считая systemd-guard, т.к его можно выключить и всё равно перезагрузить). Чтобы осталась возможность перезагрузки только с клавиатуры.

С уважением - Vladimir
... Это во франции: "Девушка - загадка!", а у нас, в России: "Баба - ребус!"
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Anatoliy Sablin написал(а) к Vladimir Bobarykin в May 17 06:24:48 по местному времени:

Привет,

Нello, Vladimir Bobarykin.
On 31.05.17 2:07 you wrote:

AS>> Рут на то он и рут, что может делать абсолютно что угодно. И
AS>> нужно пояснение, чего хочет автор, с одной стороны забрать у всех
AS>> право на ребут, с другой - оставить. Сударь, определитесь, что
AS>> вам нужно?
VB> Нужен полный запрет удаленной перезагрузки сервера, никакими
VB> средствами, чтобы перезагрузить его можно было, только подойдя к
VB> серверу физически нажав на клавиатуре ctrl+alt+del. Я чет прямо в
VB> тупике с этим systemd :) Неужели анрил? Вот, аналогия - например
VB> забыл пароль рутовый - стандартно грузишься в сингле во фряхе, или
VB> в емерженси в той же центоси, подмонтируешь раздел, меняешь пароль
VB> рута. Но, при этом такую фишку можно отключить парой строк в ядре
VB> и перенастройкий tty. И всё, хрен ты сменишь забытый пароль. Можно
VB> ли аналогичную операцию с перезагрузкой сделать - есть ли какая
VB> хитрая опция, которую надо прописать в ядро, пересобрать, или еще
VB> что-то подобное, чтобы отрубить возможность перезагрузки командами
VB> (не считая systemd-guard, т.к его можно выключить и всё равно
VB> перезагрузить). Чтобы осталась возможность перезагрузки только с
VB> клавиатуры.

Наверное, правильным решением будет ограничивать пользователей через polkit (пример https://www.centos.org/forums/viewtopic.php?t=51963).

Есть ещё утилита molly-guard, которая не даёт вызвать poweroff, shutdown, reboot, suspend и т. д.

И последний вариант - удаленных пользователей заводить в песочницу наподобие rssh, mysecureshell.

Я склоняюсь к первому варианту.

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Maxim Sokolsky написал(а) к Vladimir Bobarykin в May 17 08:09:12 по местному времени:

Привет, Vladimir!

31 май 17 02:07, Vladimir Bobarykin -> Anatoliy Sablin в сообщении по ссылке area://ru.linux?msgid=2:5034/13.1+592dfda8:

AS>> Рут на то он и рут, что может делать абсолютно что угодно.
AS>> И нужно пояснение, чего хочет автор, с одной стороны забрать у
AS>> всех право на ребут, с другой - оставить. Сударь, определитесь,
AS>> что вам нужно?
VB> Нужен полный запрет удаленной перезагрузки сервера, никакими
VB> средствами, чтобы перезагрузить его можно было, только подойдя к
VB> серверу физически нажав на клавиатуре ctrl+alt+del. Я чет прямо в
VB> тупике с этим systemd :) Неужели анрил?

VB> считая systemd-guard, т.к его можно выключить и всё равно
VB> перезагрузить). Чтобы осталась возможность перезагрузки только с
VB> клавиатуры.

Программка, которая тебе нужна, называется molly-guard.
По сути это несколько скриптов - обёртка к реальным командам, которая проверяет есть ли переменная SSН_CONNECTION у пользователя, запустившего sudo reboot/shutdown/ и т.д. . Если переменная стоит - команда блокируется.

С наилучшими пожеланиями, Maxim.

--- -А жаль, что во времена неандертальцев не было фидонета

Alexandr Kruglikov написал(а) к Maxim Sokolsky в May 17 11:07:50 по местному времени:

Привет, Maxim!

31 май 17 08:09, Maxim Sokolsky писал(а) к Vladimir Bobarykin:

MS> Программка, которая тебе нужна, называется molly-guard.
MS> По сути это несколько скриптов - обёртка к реальным командам, которая
MS> проверяет есть ли переменная SSН_CONNECTION у пользователя,
MS> запустившего sudo reboot/shutdown/ и т.д. . Если переменная стоит -
MS> команда блокируется.

А при чём тут sudo?
PermitRootLogin yes

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---

Dmitriy Lyalyuev написал(а) к Alexandr Kruglikov в May 17 10:39:02 по местному времени:

Привет, Alexandr!

31 май 17 11:07, Alexandr Kruglikov -> Maxim Sokolsky:

MS>> Программка, которая тебе нужна, называется molly-guard.
MS>> По сути это несколько скриптов - обёртка к реальным командам,
MS>> которая проверяет есть ли переменная SSН_CONNECTION у
MS>> пользователя, запустившего sudo reboot/shutdown/ и т.д. . Если
MS>> переменная стоит - команда блокируется.

AK> А при чём тут sudo?
AK> PermitRootLogin yes

Прости, а ты всех пускаешь напрямую под рутом?

С наилучшими пожеланиями, Dmitriy.

--- -Пиши, старик, пиши! Мы тебя не покинем.

Alexandr Kruglikov написал(а) к Dmitriy Lyalyuev в May 17 12:17:54 по местному времени:

Привет, Dmitriy!

* Ответ на сообщение из CarbonArea (Мыльце для меня).

31 май 17 10:39, Dmitriy Lyalyuev писал(а) к Alexandr Kruglikov:

MS>>> Программка, которая тебе нужна, называется molly-guard.
MS>>> По сути это несколько скриптов - обёртка к реальным командам,
MS>>> которая проверяет есть ли переменная SSН_CONNECTION у
MS>>> пользователя, запустившего sudo reboot/shutdown/ и т.д. . Если
MS>>> переменная стоит - команда блокируется.
AK>> А при чём тут sudo?
AK>> PermitRootLogin yes
DL> Прости, а ты всех пускаешь напрямую под рутом?

Прости, при чём здесь я? Я умею читать первичное ТЗ, в котором ясно указано, что запретить надо руту в том числе. Значит у рута есть возможность логиниться
напрямую. Опять же, "su -" никто не отменял.
Причём там и локально надо запретить, а не только по ssh.

З.Ы. (Замечу Ышо): от тех, кто у меня имеют права на sudo, выключать удалённый reboot не надо =)

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---

Vladimir Bobarykin написал(а) к Maxim Sokolsky в May 17 11:18:08 по местному времени:

Здpавствуй, Maxim!

Среда 31 Мая 2017 08:09, ты писал(а) мне, в сообщении по ссылке area://carbonArea?msgid=2:5020/828.777+592e7a3d:

VB>> Нужен полный запрет удаленной перезагрузки сервера, никакими
VB>> средствами, чтобы перезагрузить его можно было, только подойдя к
VB>> серверу физически нажав на клавиатуре ctrl+alt+del. Я чет прямо в
VB>> тупике с этим systemd :) Неужели анрил?
MS> Программка, которая тебе нужна, называется molly-guard.
MS> По сути это несколько скриптов - обёртка к реальным командам, которая
Ну, загуглили тут за меня, скинули ссылку: https://access.redhat.com/solutions/1580343 - более менее подходит. Ладно, мне главное было узнать, что штатными средствами руту перезагрузку не ограничишь, ни правкой ядра, ни чем другим, кроме как охранным софтом или костыликом, которые, к сожалению можно отключить.

p.s: пасиб всем ответившим

С уважением - Vladimir
... Только идиоты утверждают, что они не идиоты.
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Alexey Osiyuk написал(а) к Vladimir Bobarykin в May 17 12:47:18 по местному времени:


Нello Vladimir!

31 May 17 11:18, you wrote to Maxim Sokolsky:

VB> Ну, загуглили тут за меня, скинули ссылку:
VB> https://access.redhat.com/solutions/1580343 - более менее подходит.
VB> Ладно, мне главное было узнать, что штатными средствами руту
VB> перезагрузку не ограничишь, ни правкой ядра, ни чем другим, кроме как
VB> охранным софтом или костыликом, которые, к сожалению можно отключить.
VB> p.s: пасиб всем ответившим

Есть еще sysrq, его, конечно, можно выключить через sysctl, либо вообще при сборке ядра отключить. Но,
сейчас оно собрано с CONFIGMAGICSYSRQ по умолчанию и ничего тебя не спасет от рута, который может
сказать echo b > /proc/sysrq-trigger

Alexey


--- GoldED+/LNX 1.1.5-b20170303