#1
|
|||
|
|||
Linux запрет выключения/перезагрузки
Vladimir Bobarykin написал(а) к All в May 17 17:37:50 по местному времени:
Здpавствуй, All! Народ, подскажите, если не трудно - как сделать запрет всем, включая рута, на рибут/шатдаун 7ой центоси, любыми способами, оставив только возможность рибута с консоли/клавиатуры по ctrl+alt+del? С уважением - Vladimir ... Не пью, не курю. От слова "Жопа" падаю в обморок... --- Озаглавилась весна - топором, успокоилась река - декабрём... |
#2
|
|||
|
|||
Linux запрет выключения/перезагрузки
Anatoliy Sablin написал(а) к Vladimir Bobarykin в May 17 18:31:03 по местному времени:
Привет, Нello, Vladimir Bobarykin. On 30.05.17 17:37 you wrote: VB> Народ, подскажите, если не трудно - как сделать запрет всем, VB> включая рута, на рибут/шатдаун 7ой центоси, любыми способами, VB> оставив только возможность рибута с консоли/клавиатуры по VB> ctrl+alt+del? Удали /sbin/halt. ;) Рут на то он и рут, что может делать абсолютно что угодно. И нужно пояснение, чего хочет автор, с одной стороны забрать у всех право на ребут, с другой - оставить. Сударь, определитесь, что вам нужно? -- Best regards! Posted using Нotdoged on Android --- Нotdoged/2.13.5/Android |
#3
|
|||
|
|||
Re: Linux запрет выключения/перезагрузки
Vladimir Bobarykin написал(а) к Anatoliy Sablin в May 17 02:07:56 по местному времени:
Здpавствуй, Anatoliy! Вторник 30 Мая 2017 18:31, ты писал(а) мне, в сообщении по ссылке area://ru.linux?msgid=2:5020/2140.704+7aab6902: VB>> Народ, подскажите, если не трудно - как сделать запрет всем, VB>> включая рута, на рибут/шатдаун 7ой центоси, любыми способами, VB>> оставив только возможность рибута с консоли/клавиатуры по VB>> ctrl+alt+del? AS> Удали /sbin/halt. ;) Если б было всё так просто :) Как в старых ОСях. Теперь это просто симлинк на systemctl... От сюда и засада. AS> Рут на то он и рут, что может делать абсолютно что угодно. AS> И нужно пояснение, чего хочет автор, с одной стороны забрать у всех AS> право на ребут, с другой - оставить. Сударь, определитесь, что вам AS> нужно? Нужен полный запрет удаленной перезагрузки сервера, никакими средствами, чтобы перезагрузить его можно было, только подойдя к серверу физически нажав на клавиатуре ctrl+alt+del. Я чет прямо в тупике с этим systemd :) Неужели анрил? Вот, аналогия - например забыл пароль рутовый - стандартно грузишься в сингле во фряхе, или в емерженси в той же центоси, подмонтируешь раздел, меняешь пароль рута. Но, при этом такую фишку можно отключить парой строк в ядре и перенастройкий tty. И всё, хрен ты сменишь забытый пароль. Можно ли аналогичную операцию с перезагрузкой сделать - есть ли какая хитрая опция, которую надо прописать в ядро, пересобрать, или еще что-то подобное, чтобы отрубить возможность перезагрузки командами (не считая systemd-guard, т.к его можно выключить и всё равно перезагрузить). Чтобы осталась возможность перезагрузки только с клавиатуры. С уважением - Vladimir ... Это во франции: "Девушка - загадка!", а у нас, в России: "Баба - ребус!" --- Озаглавилась весна - топором, успокоилась река - декабрём... |
#4
|
|||
|
|||
Re: Linux запрет выключения/перезагрузки
Anatoliy Sablin написал(а) к Vladimir Bobarykin в May 17 06:24:48 по местному времени:
Привет, Нello, Vladimir Bobarykin. On 31.05.17 2:07 you wrote: AS>> Рут на то он и рут, что может делать абсолютно что угодно. И AS>> нужно пояснение, чего хочет автор, с одной стороны забрать у всех AS>> право на ребут, с другой - оставить. Сударь, определитесь, что AS>> вам нужно? VB> Нужен полный запрет удаленной перезагрузки сервера, никакими VB> средствами, чтобы перезагрузить его можно было, только подойдя к VB> серверу физически нажав на клавиатуре ctrl+alt+del. Я чет прямо в VB> тупике с этим systemd :) Неужели анрил? Вот, аналогия - например VB> забыл пароль рутовый - стандартно грузишься в сингле во фряхе, или VB> в емерженси в той же центоси, подмонтируешь раздел, меняешь пароль VB> рута. Но, при этом такую фишку можно отключить парой строк в ядре VB> и перенастройкий tty. И всё, хрен ты сменишь забытый пароль. Можно VB> ли аналогичную операцию с перезагрузкой сделать - есть ли какая VB> хитрая опция, которую надо прописать в ядро, пересобрать, или еще VB> что-то подобное, чтобы отрубить возможность перезагрузки командами VB> (не считая systemd-guard, т.к его можно выключить и всё равно VB> перезагрузить). Чтобы осталась возможность перезагрузки только с VB> клавиатуры. Наверное, правильным решением будет ограничивать пользователей через polkit (пример https://www.centos.org/forums/viewtopic.php?t=51963). Есть ещё утилита molly-guard, которая не даёт вызвать poweroff, shutdown, reboot, suspend и т. д. И последний вариант - удаленных пользователей заводить в песочницу наподобие rssh, mysecureshell. Я склоняюсь к первому варианту. -- Best regards! Posted using Нotdoged on Android --- Нotdoged/2.13.5/Android |
#5
|
|||
|
|||
Linux запрет выключения/перезагрузки
Maxim Sokolsky написал(а) к Vladimir Bobarykin в May 17 08:09:12 по местному времени:
Привет, Vladimir! 31 май 17 02:07, Vladimir Bobarykin -> Anatoliy Sablin в сообщении по ссылке area://ru.linux?msgid=2:5034/13.1+592dfda8: AS>> Рут на то он и рут, что может делать абсолютно что угодно. AS>> И нужно пояснение, чего хочет автор, с одной стороны забрать у AS>> всех право на ребут, с другой - оставить. Сударь, определитесь, AS>> что вам нужно? VB> Нужен полный запрет удаленной перезагрузки сервера, никакими VB> средствами, чтобы перезагрузить его можно было, только подойдя к VB> серверу физически нажав на клавиатуре ctrl+alt+del. Я чет прямо в VB> тупике с этим systemd :) Неужели анрил? VB> считая systemd-guard, т.к его можно выключить и всё равно VB> перезагрузить). Чтобы осталась возможность перезагрузки только с VB> клавиатуры. Программка, которая тебе нужна, называется molly-guard. По сути это несколько скриптов - обёртка к реальным командам, которая проверяет есть ли переменная SSН_CONNECTION у пользователя, запустившего sudo reboot/shutdown/ и т.д. . Если переменная стоит - команда блокируется. С наилучшими пожеланиями, Maxim. --- -А жаль, что во времена неандертальцев не было фидонета |
#6
|
|||
|
|||
Re: Linux запрет выключения/перезагрузки
Alexandr Kruglikov написал(а) к Maxim Sokolsky в May 17 11:07:50 по местному времени:
Привет, Maxim! 31 май 17 08:09, Maxim Sokolsky писал(а) к Vladimir Bobarykin: MS> Программка, которая тебе нужна, называется molly-guard. MS> По сути это несколько скриптов - обёртка к реальным командам, которая MS> проверяет есть ли переменная SSН_CONNECTION у пользователя, MS> запустившего sudo reboot/shutdown/ и т.д. . Если переменная стоит - MS> команда блокируется. А при чём тут sudo? PermitRootLogin yes С наилучшими пожеланиями, Alexandr. --- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" --- |
#7
|
|||
|
|||
Linux запрет выключения/перезагрузки
Dmitriy Lyalyuev написал(а) к Alexandr Kruglikov в May 17 10:39:02 по местному времени:
Привет, Alexandr! 31 май 17 11:07, Alexandr Kruglikov -> Maxim Sokolsky: MS>> Программка, которая тебе нужна, называется molly-guard. MS>> По сути это несколько скриптов - обёртка к реальным командам, MS>> которая проверяет есть ли переменная SSН_CONNECTION у MS>> пользователя, запустившего sudo reboot/shutdown/ и т.д. . Если MS>> переменная стоит - команда блокируется. AK> А при чём тут sudo? AK> PermitRootLogin yes Прости, а ты всех пускаешь напрямую под рутом? С наилучшими пожеланиями, Dmitriy. --- -Пиши, старик, пиши! Мы тебя не покинем. |
#8
|
|||
|
|||
Re: Linux запрет выключения/перезагрузки
Alexandr Kruglikov написал(а) к Dmitriy Lyalyuev в May 17 12:17:54 по местному времени:
Привет, Dmitriy! * Ответ на сообщение из CarbonArea (Мыльце для меня). 31 май 17 10:39, Dmitriy Lyalyuev писал(а) к Alexandr Kruglikov: MS>>> Программка, которая тебе нужна, называется molly-guard. MS>>> По сути это несколько скриптов - обёртка к реальным командам, MS>>> которая проверяет есть ли переменная SSН_CONNECTION у MS>>> пользователя, запустившего sudo reboot/shutdown/ и т.д. . Если MS>>> переменная стоит - команда блокируется. AK>> А при чём тут sudo? AK>> PermitRootLogin yes DL> Прости, а ты всех пускаешь напрямую под рутом? Прости, при чём здесь я? Я умею читать первичное ТЗ, в котором ясно указано, что запретить надо руту в том числе. Значит у рута есть возможность логиниться напрямую. Опять же, "su -" никто не отменял. Причём там и локально надо запретить, а не только по ssh. З.Ы. (Замечу Ышо): от тех, кто у меня имеют права на sudo, выключать удалённый reboot не надо =) С наилучшими пожеланиями, Alexandr. --- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" --- |
#9
|
|||
|
|||
Re: Linux запрет выключения/перезагрузки
Vladimir Bobarykin написал(а) к Maxim Sokolsky в May 17 11:18:08 по местному времени:
Здpавствуй, Maxim! Среда 31 Мая 2017 08:09, ты писал(а) мне, в сообщении по ссылке area://carbonArea?msgid=2:5020/828.777+592e7a3d: VB>> Нужен полный запрет удаленной перезагрузки сервера, никакими VB>> средствами, чтобы перезагрузить его можно было, только подойдя к VB>> серверу физически нажав на клавиатуре ctrl+alt+del. Я чет прямо в VB>> тупике с этим systemd :) Неужели анрил? MS> Программка, которая тебе нужна, называется molly-guard. MS> По сути это несколько скриптов - обёртка к реальным командам, которая Ну, загуглили тут за меня, скинули ссылку: https://access.redhat.com/solutions/1580343 - более менее подходит. Ладно, мне главное было узнать, что штатными средствами руту перезагрузку не ограничишь, ни правкой ядра, ни чем другим, кроме как охранным софтом или костыликом, которые, к сожалению можно отключить. p.s: пасиб всем ответившим С уважением - Vladimir ... Только идиоты утверждают, что они не идиоты. --- Озаглавилась весна - топором, успокоилась река - декабрём... |
#10
|
|||
|
|||
Linux запрет выключения/перезагрузки
Alexey Osiyuk написал(а) к Vladimir Bobarykin в May 17 12:47:18 по местному времени:
Нello Vladimir! 31 May 17 11:18, you wrote to Maxim Sokolsky: VB> Ну, загуглили тут за меня, скинули ссылку: VB> https://access.redhat.com/solutions/1580343 - более менее подходит. VB> Ладно, мне главное было узнать, что штатными средствами руту VB> перезагрузку не ограничишь, ни правкой ядра, ни чем другим, кроме как VB> охранным софтом или костыликом, которые, к сожалению можно отключить. VB> p.s: пасиб всем ответившим Есть еще sysrq, его, конечно, можно выключить через sysctl, либо вообще при сборке ядра отключить. Но, сейчас оно собрано с CONFIGMAGICSYSRQ по умолчанию и ничего тебя не спасет от рута, который может сказать echo b > /proc/sysrq-trigger Alexey --- GoldED+/LNX 1.1.5-b20170303 |