Как корректно изменить права во всей системе, чтобы others не могли ничего делать?

Question

[historydev]

Хочу чтобы любой новый юзер ничего не мог в системе, пока я в sudoers ему не выдам права на определённую команду, папку, файл и т.д.

chmod -R 770 / - корректно будет?

Comments

[Ivan Ustûžanin]

и у всех отвалится shell, т.к. запуститься не сможет, и не уверен что и sudo запуститься, не разбирался когда назначаются права root для setuid бинарников, до проверки прав на выполнение или после
это к тому, что скорее всего выбран не тот инструмент, и на ум кроме selinux и подобных ему ничего не приходит

[shurshur]

Я свой первый линукс так и запорол :)

Answer 1

[AlexVWill]

chmod -R 770 / - корректно будет?

если хочешь всю систему нахрен завалить чтобы она не работала - то да
а ответ на твой вопрос - не надо ничего делать специально, что ты хочешь - система уже по умолчанию делает, не мешай ей работать

Answer 2

[SunTechnik]

Почитайти книги по Linux.

Что бы пользователь мог войти в системы, ему надо выполнить набор команд.
( запустить шелл, прочитать и показать файл motd итд).

sudo - это команда для смены привелегий пользователя. (Временно получить права суперпользователя, что бы управлять каким-либо сервисом итд). При этом, во время исполнения меняется идентификатор пользователя.

Зачем пускать пользвателя в систему, если ему ничего делать нельзя ?
Каталог /usr/bin на типичной системе содержит больше 600 файлов. (команд). Не устанете права выдавать?

Если действительно надо так обрезать пользвателей в правах - почитайте про restricted shell.
Совершенно непонятна конечная цель...

Answer 3

[Sanes]

А система как будет работать с такими правами? Если паранойя, то делайте chroot. Или можете его просто заблокировать. Тогда какой смысл в этой учетной записи?

Comments

[historydev]

chroot не то по ощущениям, я хочу работать с папками и файлами в основной системе, но только с теми, которые я укажу.

Чтобы юзер не мог добраться до чего-то лишнего.

[Sanes]

historydev, он и так никуда не доберется, куда ему не надо.

[historydev]

Sanes, мне нужно чтобы он мог только попасть в папку которую укажу и выполнять одну команду из /usr/sbin/, это возможно?

Answer 4

[mayton2019]

Правильно написали что по умолчанию ОС и так достаточно безопасна и ничего уже из гаек
закручивать не стоит. Иначе просто что-то перестанет работать.

Но если ты такой любитель мозохизма - то посмотри в сторону Alpine Linux. Возможно
там тебе будет еще больше бондажа. Кайфанешь.

Answer 5

[CityCat4]

chmod -R 770 / - корректно будет?

Конечно. Для перестановки.

Никогда не делай ничего с правами от корня В дереве каталогов есть расставленные права, причем расставленные таким образом, что без них система работать не будет - начнутся "непонятные" ошибки, сервисы перестанут запускаться (а нынешнее "поколение" линукс-чайников только и в состоянии файл сервиса для systemd написать, не больше)

Небольшой сервачок может содержать пару тысяч бинарей в /bin:/usr/bin (без графики), типичная рабочая станция (с графикой) - порядка четырех тысяч в /bin:/usr/bin:/usr/trinity/14/bin

Задача непонятна.