Как реализовать запуск собственной программы перед выполнением команды в линукс?

Question

[a246_K]

У меня появилась необходимость настроить систему так, чтобы PATH содержал папки sbin, но запуск программ из под ней был невозможен обычному пользователю. Отчасти у меня это получилось реализовать с помощью простого скрипта. Вот как он выглядит:

#!/bin/bash

if [[ $UID -eq 0 ]]; then
    exec "$@"
    exit 0
fi

cmd=$(readlink -f "$1")

if [[ $cmd == /usr/sbin/* ]]; then
    echo "Запуск программ из /usr/sbin запрещен для обычных пользователей."
    exit 1
fi

exec "$@"

Но возникла проблема с "вшитием" этого в систему. Мне нужно чтобы независимо от оболочки перед каждой командой выполнялся этот скрипт, и в случае чего, "отклонял" выполнение команды.

Answer 1

[SunTechnik]

По-моему, это типичная проблема X-Y.
Окружение каждого пользователя настраивается индивидуально. Кому надо - включайте в поиск sbin, кому не надо - не включайте.

Можно правами на каталог /sbin запретить доступ к файлами не пользователю root.
Только надо помнить что многие процессы запускаются из под своих пользователей и не факт что им ничего не потребуется из этого каталога.

Если очень хочется идти по выбранному Вами пути, то с каждым shell придётся разбираться отдельно. В zsh это вроде встроено, для bash вот тут есть проект:
https://github.com/rcaloras/bash-preexec

Comments

[a246_K]

У меня возникла аналогия с Федорой. Тоесть, когда я ввожу команду из пакета который отсутствует в системе, терминал предлагает мне установить недастоющий пакет. При этом оболочка не настраивалась мною (у меня zsh который ставил вручную).

[SunTechnik]

a246_K,
То, что это не настраивали Вы, не значит что это функция ОС.
Про доустановку пакетов - это использование command_not_found_handle
Но это функция конкретных шелл.

Для zsh почитайте
https://stackoverflow.com/questions/28099966/use-p...

Там упоминается preexec и accept-line.

Answer 2

[ky0]

Добавление /usr/sbin в PATH не даёт никаких новых привелегий - как определённые бинарники не выполнялись из-под обычного пользователя, так и не начнут. Фактически, любой пользователь может напрямую обратиться к программе из /usr/sbin по полному пути и без PATH.

Comments

[a246_K]

Это понятно. Однако вспоминая себя помню как я путался от того что sbin не было в PATH. И с другой стороны, то что я хочу реализовать скорее для удобства и для понимания незнающих пользователей.

Answer 3

[CityCat4]

чтобы PATH содержал папки sbin

Зачем? Если запуск в sbin для юзера не нужен - просто закройте туда доступ, если конечо не боитесь, что что-то сломается (а вполне может)
Судя по чрезвычайной корявости решения, Вы взялись решать проблему неправильно. Озвучьте изначальную проблему - может быть есть другой способ ее решения.