Forum Clubic

Restreindre les exécutables dispos

Je cherche un moyen de faire en sorte que les utilisateurs d’un ordi ne puissent exécuter que les programmes que j’ (l’admin) aurai installés.

J’ai pensé à simplement mettre /home (et éventuellement /tmp) sur une autre partition montée avec noexec.

Mais comme je ne suis pas un gourou de la sécurité je sais pas si c’est suffisant. Genre, est-ce qu’un “sh ./lancer-programme” avec “lancer-programme” qui contient un appel vers un prog dans /home/user fonctionnerait (vu que sh est pas dans /home) ?

jette un oeil du coté de SELinux, je ne m’en suis jamais servi personnellement, mais d’après ce que j’en ai entendu, c’est ce qu’il te faut !

pour le noexec, c’est facile à tester !

mount -o remount,noexec /home

et tu testes :wink:

/home est pas à part chez moi (je change très souvent de distrib en ce moment et je me prends pas la tête, un gros / et zou)

sinon d’après des gens de pcinpact ça ira, mais je voudrais aussi savoir où, sous Dapper, spécifier noexec pour les périphs USB amovibles (et là j’aurai éliminé 99,9% des risques d’exécutable non voulu sur cette machine)

ça doit être quelque part dans /etc/ [:yeoh] (comment ça, elle ne te plait pas ma réponse ? :ane:)

plus sérieusement, soit dans la politique de hal : /etc/hal/ et le fichier storage-policy.fdi
ou encore celle de udev /etc/udev/

en fait je sais pas trop :neutre: