Je cherche un moyen de faire en sorte que les utilisateurs d’un ordi ne puissent exécuter que les programmes que j’ (l’admin) aurai installés.

J’ai pensé à simplement mettre /home (et éventuellement /tmp) sur une autre partition montée avec noexec.

Mais comme je ne suis pas un gourou de la sécurité je sais pas si c’est suffisant. Genre, est-ce qu’un “sh ./lancer-programme” avec “lancer-programme” qui contient un appel vers un prog dans /home/user fonctionnerait (vu que sh est pas dans /home) ?

jette un oeil du coté de SELinux, je ne m’en suis jamais servi personnellement, mais d’après ce que j’en ai entendu, c’est ce qu’il te faut !

pour le noexec, c’est facile à tester !

mount -o remount,noexec /home

et tu testes

/home est pas à part chez moi (je change très souvent de distrib en ce moment et je me prends pas la tête, un gros / et zou)

sinon d’après des gens de pcinpact ça ira, mais je voudrais aussi savoir où, sous Dapper, spécifier noexec pour les périphs USB amovibles (et là j’aurai éliminé 99,9% des risques d’exécutable non voulu sur cette machine)

ça doit être quelque part dans /etc/ [:yeoh] (comment ça, elle ne te plait pas ma réponse ? :ane:)

plus sérieusement, soit dans la politique de hal : /etc/hal/ et le fichier storage-policy.fdi
ou encore celle de udev /etc/udev/

en fait je sais pas trop :neutre: