Restreindre les exécutables dispos

[naparuba]

Bon bah on a la réponse, comme quoi lire les man c'est bien....

Merci theocrite

(et une bonne raison de passer en 2.6, une....)

[tuXXX]

Ouais, avec rbash c'est clair qu'ils vont être limités, surtout si tu veux lancer des interfaces graphiques.

Sinon, c'est assez spécifique, mais on peut faire ça avec SELinux.

J'ai testé...

 shell $ mkdir dossier
shell $ cp /bin/ls dossier/
shell $ rbash
rbash $ find
.
./dossier
./dossier/ls
rbash $ ./dossier/ls
rbash: ./dossier/ls: restricted: cannot specify `/' in command names
rbash $ cd dossier
rbash: cd: restricted
rbash $ bash
bash $ ./dossier/ls
dossier
bash $ cd dossier
bash $ ./ls
ls

à quoi ça sert de limiter le shell si on peut toujours lancer un autre shell?

peut-être en enlevant l'exécution de tous les autres shell... mais après ça va être tendu pour plein de scripts...

[Sufflope]

Merci pour toutes vos réponses :)

Le but n'est pas ici de limiter les exécutions en général, mais d'empêcher d'exécuter d'autres exe que ceux dans /usr/bin etc. Donc, vu que le niveau moyen des utilisateurs ne sera pas exceptionnel, noexec me convient même si c'est certain que c'est pas ultime (cf. /tmp qui sera toujours écrivable et exécutable).

[theocrite]

exe c'est pour windows.

dans {/usr,/{s,}bin}, c'est ... des bin comme le nom du rep l'indique (à la limite des elfs, mais pas trous il y a aussi plein de scripts).

[Sufflope]

J'ai pas dit .exe mais exe pour exécutable

[theocrite]

Je sais, mais ça me choque toujours