Linux, Windows, Mac OS X - IX

ladserg · №801

Keepun пишет

То есть ты не можешь скачать этот файл с официального сайта, что бы выяснить точно?

Ты это к чему я не понял? Ну скачал я файл с оффсайта, и? Или ты подразумеваешь, что файл с неизвестной для винды подписью скачанный с оффсайта не может быть инфицирован, а если инфицирован с (теоритически) подмененной подписью, то не может быть запущен?

Keepun пишет

решение я тебе выделил
Так в чем проблема назначить сыну группу Пользователи и Администраторы (или более ограниченную) одновременно? = sudo с паролем юзера.

Не знаю к чему тут сына приписал (он у меня под линуксом сидит), а решения ты не выделил, только делал туманные намёки, на AppLocker сослался. Права админа обычному пользователю сейчас предлагаешь зачем то дать. Ты всё же поднапрягись, приведи полный алгоритм как обычному пользователю, с ограниченной учёткой (т.е. находится он только в группе Пользователи) дать возможность поставить МСО.

Так вот, включение пользователя в группы Пользователи и администраторы никак не канает, даже с использование AppLocker'а. Во первых это далеко не то же что и sudo (там всё же пользователю не дают админских прав), а во вторых давая пользователю админа даёшь ему и возможность подменить файл/инфицировать файл/тупо отрубить политику домена, всё это неприемлемо в корпоративном секторе, за это в лучшем случае уволят, а то и привлекут по 274 статье УК РФ, и на мой взгляд правильно и делают.

Keepun пишет

Не пашет это на Винь 7, а ХРень давно пора на свалку.

Пока старое железо пашет, нет смысла на семерку перелазить. А гениев с воплями, мол нужно обновлять парк, в дупу, пусть свою фирму заведут с парком в несколько сот компов, и меняют в ней за свой счёт хоть каждый год то, что нормально работает.

Keepun · №802

ladserg пишет

Или ты подразумеваешь, что файл с неизвестной для винды подписью скачанный с оффсайта не может быть инфицирован, а если инфицирован с (теоритически) подмененной подписью, то не может быть запущен?

Keepun пишет

Нужно быть полным лохом, чтобы дать права желтому окну с запросом от Лисы.
На желтых окнах я сначала вспоминаю, откуда я этот файл скачал. Если сайт, с которого я скачал этот файл, официальный, я дам права на установку.

Или здравое решение у нас не в почете?
Для таких умников можно вообще запретить не подписанный софт ставить.

ladserg пишет

Ты всё же поднапрягись, приведи полный алгоритм как обычному пользователю, с ограниченной учёткой (т.е. находится он только в группе Пользователи) дать возможность поставить МСО.

Сначала ты приведи решение: как поставить Xorg в Лине без повышения прав через sudo.

ladserg пишет

sudo (там всё же пользователю не дают админских прав)

Sudo (su "do") allows a system administrator to give certain users (or groups of users) the ability to run some (or all) commands as root while logging all commands and arguments.

Так че там "sudo krusader" не даст мне сделать?
Но конфиг у него конечно классный.

ladserg · №803

Keepun пишет

Или здравое решение у нас не в почете?
Для таких умников можно вообще запретить не подписанный софт ставить.

Ты либо читать не умеешь, либо просто юлишь и начинаешь писать разную чепуху. Я уже писал что ставить ПО у нас могут только администраторы (как на всех нормальных предприятиях), и что неподписаный то у нас как раз специализированный отраслевой софт, без которого винда не нужна, впрочем как и комп.

Если я поставлю запрет на запуск неподписанных программ, надобность винде отпадет, совсем.

Keepun пишет

ladserg пишет
Ты всё же поднапрягись, приведи полный алгоритм как обычному пользователю, с ограниченной учёткой (т.е. находится он только в группе Пользователи) дать возможность поставить МСО.
Сначала ты приведи решение: как поставить Xorg в Лине без повышения прав через sudo.

Ты стрелки то не переводи, я в отличии тебя кулл-хакера из себя не строю. Что касаемо иксов - качаешь исходники, компилируешь, ставишь себе в домашний каталог и запускай оттуда сколь угодно.

Ты стрелки то непереводи, поищи лучше рецепт.

Keepun пишет

ladserg пишет
sudo (там всё же пользователю не дают админских прав)
Sudo (su "do") allows a system administrator to give certain users (or groups of users) the ability to run some (or all) commands as root while logging all commands and arguments.
Так че там "sudo krusader" не даст мне сделать?
Но конфиг у него конечно классный.

ну и где там написано что пользователя надо пихать в группу root? Там написано что sudo позволяет давать возможность обычным непривилигерованным пользователям запускать комманды с root-привилегиями, что совсем не то же что быть в группе root.

И вообще чего ты привязался к sudo?
Напомню:

UAC != sudo
включение пользователя в группа Администраторы + ограничения AppLocker != sudo

Отстал бы ты от него, все равно пока не прочитаешь и не разберешься чего он делаешь будешь путаться.

krigstask · №804

okkamas_knife пишет

а зачем ему в системную писаться? достаточно записаться в юзерскую да позаражать любые юзерские файлы чтоб другой юзер открыв файлик получил его и в свою автозагрузку.

Ну, «любые» файлы так уж просто не позаражаешь, да и пользователи нечасто друг к другу в файлы суются.

okkamas_knife пишет

ну а убить систему из под юзерских прав при настройках этих прав по-умолчанию элементарно - с подобным даже бухгатера справляются.

Это как?

okkamas_knife пишет

вобщем не ответы а сплошное незнание матчасти.

Я винду не знаю совершенно, кто ж знал, что там всё так запущенно.

okkamas_knife пишет

юзер сможет это сделать т.к. это его тачка и если ему надо он запустит программу от имени администраторапросто потому что он хочет её поставить.

«Чем безопаснее работа под пользователем, если пользователь фактически имеет админские права», отличный вопрос.

okkamas_knife пишет

т.е. ты признаёшь что юзерские права не защищают систему от глупого юзера который всегда может запустить софтину из-под админа? и чем тогда работа из-под юзера защищённей?

Это дополнительный уровень защиты даже для них. В случае взлома через какое-нибудь пользовательское ПО. Если для тебя опасность таится только в установке неизвестных программ, то…

okkamas_knife пишет

у меня до сих пор вызвает когнитивный диссонанс сочетание гента и проприетарная опера.
зы я бы понял еслиб бубунту или еще какой нибудь ширпотребовский дистриб юзался но генту осквернять оперой???

Диссонируй, мне не жалко.

X Strange · №805

ladserg пишет

Ну, если говорить честно, то пользователь с ограниченными правами априори не может запустить программу от имени админа, за редким исключением, в винде я призанаться не знаю как позволить пользователю с ограниченными правами запустить программу с правами админа, в линуксе это sudo и suid бит на файле, но такие вещи обычно используются с умом и осторожностью. Если речь идёт о корпоративных сетях конечно.

Ну, на самом деле есть, например, такое: http://sourceforge.net/projects/sudowin/, но когда я пытался его поставить, мне не удалось это сделать... Судя по дате последнего обновления, он с тех пор не поменялся.

okkamas_knife пишет

у меня до сих пор вызвает когнитивный диссонанс сочетание гента и проприетарная опера.зы я бы понял еслиб бубунту или еще какой нибудь ширпотребовский дистриб юзался но генту осквернять оперой???

Ну, во-первых, я сильно подозреваю, что krigstask её не под root'ом запускает
Во-вторых, дистрибутив gentoo, в отличие, скажем, от Fedora (из под которой я пишу это сообщение), не страдает свой ориентированностью на Free Software. Браузер Opera там есть в portage.

Отредактировано X Strange (03-02-2013 16:05:00)

Keepun · №806

ladserg пишет

Я уже писал что ставить ПО у нас могут только администраторы (как на всех нормальных предприятиях)

Ты уже сам как-то определись: для предприятия или дома?
На предприятиях разрешения выдает сервер - тут от прямоты рук админа зависит.
Дома я себе сам Админ!

ladserg пишет

Если я поставлю запрет на запуск неподписанных программ, надобность винде отпадет, совсем.

О пять же: для предприятия или дома?
На предприятии я бы своим ключом подписывал, который уже числится корневым на рабочих тачках. Что-то типа местной репы.

ladserg пишет

включение пользователя в группа Администраторы + ограничения AppLocker != sudo

Вылаз уже с ХРени. В Винде 7 группа Администраторы == sudo! Даже есть настройки, чтобы вернуть старого Админа, но зачем?

ladserg пишет

Что касаемо иксов - качаешь исходники, компилируешь, ставишь себе в домашний каталог и запускай оттуда сколь угодно.

Я не зря Х за пример взял, потому что тебе придется нестандартный путь к его либам прописывать. Да, возможно, но красноглазить придется...

okkamas_knife пишет

а про общие файлы и папки не слышал ни разу?

А на них уже Автозапуск пашет?

X Strange · №807

Keepun пишет

Я не зря Х за пример взял, потому что тебе придется нестандартный путь к его либам прописывать. Да, возможно, но красноглазить придется...

Тоже мне проблема, LD_LIBRARY_PATH и LDFLAGS выставить.

Добавлено 03-02-2013 18:18:00
okkamas_knife,
если пользоваться нормальным файл-менеджером, который показывает расширения файлов, но проблема отпадает.

Отредактировано X Strange (03-02-2013 18:18:24)

X Strange · №808

okkamas_knife пишет

как показывает опыт это никак не влияет ибо юзер элементарно не смотрит на это. он видит ключевые слова привлёкшие его внимание и клацает. причем попадается немало кадров которые запустят файл даже если там написано что это вирус. и таких кадров довольно большой процент. сам лично клал на сервер папку Вирусы не лазить! и внутри куча екзешников с соответствующими именами которые просто пугают и пишут что за юзер их запускал..я сам офигел от количества таких, мне потом пришлось продемонстрировать лог начальству чтоб дал приказ провести воспитательную беседу с ээтой толпой.

Да уж. Ну тут я только руками могу развести...

Но в Linux в этом плане лучше --- сперва понадобится сделать chmod u+x <имя файла>.

Отредактировано X Strange (03-02-2013 18:52:17)

Keepun · №809

X Strange пишет

Но в Linux в этом плане лучше --- сперва понадобится сделать chmod u+x <имя файла>.

Это okkamas_knife не остановит.
Он уже такие методы насочинял, что ему даже кухонный нож давать опасно...

В реальности он заразит только профиль юзера, а не всю систему.
Ну вот подхватил глупый okkamas_knife вирус в свой профиль. Я уже не смогу на этом же компе работать под своим профилем? Чтоб мне заразить свой профиль нужно: найти зараженный exe в Общих папках, понадеяться на okkamas_knife и запустить его. Но это уже полный бред! Даже если в профиле есть вирус, то достаточно почистить профиль, а не переустанавливать всю систему.

Lain_13 · №810

ladserg
Вообще есть вот такое: http://www.ehow.com/how_7276659_disable-files-usb-drives-gpo.html
Не знаю есть ли эта фича в ХР.
Но, пожалуй, проще запретить флэшки там, где они не нужны, чем приучить пользоваться системой с не скрытыми расширениями и видимыми «скрытыми» папками (сколько раз у doc потеряют расширение при переименовании даже страшно представить).

X Strange · №811

okkamas_knife пишет

это да. но есть такая штука как вордовские макросы(у других прог тоже есть свои и их тже можно использовать при надобности)а вообще ещё проще - браузер и флэш и делай что хочешь! многим вирусам даже необязательно на компе поселяться для их задач. запустился в браузере отработал и ок.из флэша много чего можно делать из того что требуется современным вирусописателям.

Возможно, я последний раз запускал MSO (как и OOO) года 3 назад. Вообще макросы в ворде --- это, имхо, чистой воды идиотизм. Документ, он на то и документ, что он не должен нести в себе исполняемого кода.
Что касается флэша --- ну, не надо по подозрительным сайтам лазить...

Keepun пишет

В реальности он заразит только профиль юзера, а не всю систему.

Это да, но даже в профиле юзера вирус может наделать много гадостей. Поэтому вообще говоря, браузер следует запускать от имени отдельного аккаунта, который к файлам пользователя доступа не имеет. Однако даже большинству пользователей Linux это делать влом, что уж там говорить про Windows, где такое сделать ещё и сложно (если кто знает, как --- мне будет интересно).

Добавлено 03-02-2013 20:51:24

Lain_13 пишет

сколько раз у doc потеряют расширение при переименовании даже страшно представить

В каком смысле?

Отредактировано X Strange (03-02-2013 20:51:24)

Keepun · №812

X Strange пишет

от имени отдельного аккаунта, который к файлам пользователя доступа не имеет... Windows, где такое сделать ещё и сложно (если кто знает, как --- мне будет интересно).

Просто:
Shift+ПКМ и "Запустить от имени другого пользователя"
или автоматизировать
runas /user:"Lox" "firefox"

Режим "порнобраузера".

krigstask · №813

X Strange пишет

Поэтому вообще говоря, браузер следует запускать от имени отдельного аккаунта, который к файлам пользователя доступа не имеет

Ну это уже паранойя.

X Strange · №814

Keepun пишет

Просто:Shift+ПКМ и "Запустить от имени другого пользователя"или автоматизироватьrunas /user:"Lox" "firefox"

А если я не хочу каждый раз вводить пароль пользователя "Lox"?

krigstask пишет

Ну это уже паранойя.

Да, есть немного. Кстати, при настройках по умолчанию в Linux можно отредактировать ~/.bashrc (~/.zshrc), поменяв значение переменной PATH, а потом ждать, пока пользователь введёт su - или sudo, чтобы перехватить пароль root.

Keepun · №815

X Strange пишет

А если я не хочу каждый раз вводить пароль пользователя "Lox"?

Разреши пустые пароли.

X Strange · №816

Keepun пишет

Разреши пустые пароли.

А может сразу под админом работать? Нет, я, конечно, понимаю, что этот аккаунт предназначен для того, чтобы из под него запускались вирусы, но всё-таки. В идеале этот аккаунт должен быть таким, чтобы из-под него нельзя было залогиниться.

Отредактировано X Strange (03-02-2013 22:30:08)

Keepun · №817

А вообще WinAPI позволяет задавать пароль из прог при запуске процесса, так что свой runas создать очень просто. Тулз куча.
Я создал тулзу на подключение зашифрованного раздела и запуска прог от профиля на нем. Пароль вожу только на подключение.

Добавлено 03-02-2013 22:39:37

X Strange пишет

А может сразу под админом работать?

У тебя Админ без пароля?

Отредактировано Keepun (03-02-2013 22:39:37)

X Strange · №818

Keepun пишет

У тебя Админ без пароля?

С паролем, естественно.

Keepun пишет

А вообще WinAPI позволяет задавать пароль из прог при запуске процесса, так что свой runas создать очень просто.

"Напиши программу сам" (с)

krigstask · №819

X Strange пишет

Кстати, при настройках по умолчанию в Linux можно отредактировать ~/.bashrc (~/.zshrc), поменяв значение переменной PATH, а потом ждать, пока пользователь введёт su - или sudo, чтобы перехватить пароль root

Это да. Но не sudo (-%Е

Keepun · №820

X Strange пишет

С паролем, естественно.

Ну и в чем проблема тогда разрешить пустой пароль для юзера?

X Strange пишет

"Напиши программу сам" (с)

С точки зрения безопасности Майк прав, что не добавил такую тулзу в дистр Виня.
Там всего 3 строки кода.
А можно через PowerShell такое сделать.

X Strange · №821

Keepun пишет

Ну и в чем проблема тогда разрешить пустой пароль для юзера?

А это необходимо?

Keepun пишет

С точки зрения безопасности Майк прав, что не добавил такую тулзу в дистр Виня.

Не понимаю. Поясните.

Keepun пишет

Там всего 3 строки кода.

Сомневаюсь, но даже если так, то, во-первых, придётся порыться в MSDN, чтобы узнать, что это за 3 строки, а во-вторых, я сильно подозреваю, что для того, чтобы это работало безопасно, придётся написать сильно побольше, чем 3 строки. Скорее всего, придётся написать системный сервис, работающий под админом (не берусь утверждать, так как не знаю Windows API, особенно по части прав доступа и безопасности).

Keepun пишет

А можно через PowerShell такое сделать.

Продемонстрируйте.

Отредактировано X Strange (04-02-2013 00:41:16)

Keepun · №822

X Strange пишет

А это необходимо?

Это костыльный вариант для тупого юзера.

X Strange пишет

что для того, чтобы это работало безопасно, придётся написать сильно побольше, чем 3 строки.

Что значит "безопасно"? Похоже ты вообще не в теме (1 строка на эту функу и всё).
Там права на доступ к папке одной функцией меняются.

X Strange пишет

Продемонстрируйте.

Google
результат

Отредактировано Keepun (04-02-2013 01:04:00)

X Strange · №823

Keepun пишет

Похоже ты вообще не в теме (1 строка на эту функу и всё).

MSDN пишет

BOOL WINAPI CreateProcessWithLogonW(
_In_ LPCWSTR lpUsername,
_In_opt_ LPCWSTR lpDomain,
_In_ LPCWSTR lpPassword,
_In_ DWORD dwLogonFlags,
_In_opt_ LPCWSTR lpApplicationName,
_Inout_opt_ LPWSTR lpCommandLine,
_In_ DWORD dwCreationFlags,
_In_opt_ LPVOID lpEnvironment,
_In_opt_ LPCWSTR lpCurrentDirectory,
_In_ LPSTARTUPINFOW lpStartupInfo,
_Out_ LPPROCESS_INFORMATION lpProcessInfo
);

Предлагается захардкодить пароль в программу? Не самое лучшее решение в плане безопасности. Конечно, для такого случая сойдёт, но полноценный sudo таким способом реализовать не удастся.

По PowerShell: прочитаю --- отвечу.
Upd. Впрочем, и там предлагается загнать пароль в скрипт.

Отредактировано X Strange (04-02-2013 01:18:11)

Keepun · №824

X Strange пишет

Предлагается захардкодить пароль в программу?

А аргументом задавать уже не принято?

Вот более полный вариант на PowerShell, но при желании его можно до 2-3 строк сократить.

Добавлено 04-02-2013 01:24:02

X Strange пишет

Upd. Впрочем, и там предлагается загнать пароль в скрипт.

Так ты определись с задачей: тебе нужен аналог runas или просто firefox от другого юзера запустить?

Отредактировано Keepun (04-02-2013 01:24:02)

X Strange · №825

Keepun пишет

А аргументом задавать уже не принято?

Тогда в чём её великий смысл? Такая программа уже есть --- она называется runas. Я же хочу другое: если программа имеет такой-то полный путь к исполняемому файлу, то запускать её от другого юзера. Список программ и соответствующих юзеров настраивается в конфигурационном файле (как sudo в UNIX).

Добавлено 04-02-2013 01:27:59

Keepun пишет

Так ты определись с задачей: тебе нужен аналог runas или просто firefox от другого юзера запустить?

Как я уже написал выше, мне нужно, чтобы уровень привилегий для определённых программ зависел только от полного пути к exe файлу и (если нужно) не требовал ввода пароля.

Добавлено 04-02-2013 01:31:15

krigstask пишет

Это да. Но не sudo (-%Е

Можно и sudo. Её можно настроить так, что будет спрашивать пароль root. А в Ubuntu пароля пользователя достаточно.

Отредактировано X Strange (04-02-2013 01:31:15)

Полезная информация

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Re: Linux, Windows, Mac OS X - IX

Board footer