[linux-l] Wrapper für $SHELL

Peter Ross Peter.Ross at alumni.tu-berlin.de
Di Jan 6 06:35:34 CET 2004


On Sun, 4 Jan 2004, Oliver Beck wrote:

> On Sun, 4 Jan 2004 14:01:28 +1100 (EST)
> Peter Ross <Peter.Ross at alumni.tu-berlin.de> wrote:
>
> > On Sat, 3 Jan 2004, Oliver Beck wrote:
> >
> > > Als ich eine normale Shell unter `systrace` laufen ließ
> > > (`$PROMT# systrace -A /bin/bash`) erstellte er Policies für alle von
> > > mir abgesetzte Programme. Wenn ich also eine Policie für `ls` habe,
> > > eine Shell unter Systrace laufen lasse hat es soviel Rechte, wie sie
> > > in der Policie für `ls` beschrieben sind.
> > >
> Wenn ich `systrace -A $Programm` ausführe, wird automatisch alles, was
> ich mache geloggt und in eine Policie geschrieben. Das ist sozusagen der
> Lernmodus. Starte ich `systrace -a $Programm` wird nur das zugelassen,
> was in der Policie steht.

Aja, das versteh sogar ich;-)

Trotzdem noch eine Frage zur Klaerung:

Wenn Du eine Shell mit systrace aufrusft (im "harten" -a -Modus) und es
existiert eine Policy fuer find, was ist mit find -exec rm?)

Ich denke, das wird dann gegen die Policy von rm gecheckt? (das meinte ich
mit Vererbung)

Wenn das der Fall ist, scheint mir der Weg, als Loginshell systrace zu
verwenden, erfolgreich zu sein.

Ich habe ein Skript erstellt, welches ein Kommando ausfuehrt (mangels
systrace etwas anderes) und das liess sich als Loginshell verwenden,
nachdem ich es in /etc/shells eingetragen habe

Dein Beispiel fuer /usr/local/bin/systracelogin (was dann in /etc/shells
stehen muss und die Loginshell des Nutzers werden kann)

#!/bin/sh

/sbin/systrace /bin/sh -

waere wohl der einfachste Weg?

Gruss
Peter




Mehr Informationen über die Mailingliste linux-l