https://opennet.dev/openforum/vsluhforumID1/85690.html К машине имеют доступ несколько человек, для них нужно ограничение на запуск программ.<br><br>Решение, создать несколько групп. Программам, через chgrp установить соответсвующую группу которым разрешен запуск, а всем остальным запретить.<br>*******<br>Например, группа, которой разрешено пользоваться trackerd<br>groupadd tracker<br>usermod -a -G tracker user1<br>chgrp tracker /usr/libexec/trackerd<br>chmod o-x /usr/libexec/trackerd<br>другой способ выставить posix acl.<br>*******<br>Но проблемма в том, что каждый раз при обновлении права на файл сбрасываются, на те что идут в пакете.<br><br>Как лучше принудительно при обновлении устанавливать соответствущие права?<br><br>1. написать скрипт который вызывает программу обновления, а затем вызывает скрипт проверки прав<br>2. задействовать чтото типа cfengine<br>3. или есть наиболее стандартный метод, который я просто не углядел<br><br>Требуется решение для дистров основанных и на rpm, и на deb.<br>И было круто если бы <br>rpm -V tracker<br>не ругался бы после этого:<br>.M....G.. /usr/libexec/trackerd<br><br>PS https://opennet.dev/openforum/vsluhforumID1/85690.html#5 Tue, 23 Jun 2009 16:41:58 GMT &gt;&gt;может через sudo <br>&gt;<br>&gt;нет это ж не то <br>&gt;<br>&gt;sudo средство запуска программ от имени другого пользователя, не вводя пароль того <br>&gt;пользователя от кого хочешь запустить. Вводя либо свой, либо не вводя <br>&gt;вообще. <br>&gt;<br>&gt;Как это может помочь, я не понял. <br><br>а так же можно указать кому и что именно можно запускать<br><br>в итоге права на файл останутся (это к rpm -V), ну а то что явно не разрешено запускать, будут пытаться запускать по другому, но от этого и ваш метод не спасет.<br> https://opennet.dev/openforum/vsluhforumID1/85690.html#4 Tue, 23 Jun 2009 14:40:30 GMT &gt;может через sudo <br><br>нет это ж не то<br><br>sudo средство запуска программ от имени другого пользователя, не вводя пароль того пользователя от кого хочешь запустить. Вводя либо свой, либо не вводя вообще.<br><br>Как это может помочь, я не понял.<br> https://opennet.dev/openforum/vsluhforumID1/85690.html#3 Tue, 23 Jun 2009 14:26:05 GMT &gt;мысли на тему "а что будет, если юзер зальет свой бинарник (или <br>&gt;скомпилит его сам)" вас еще не посещали ? <br><br>Не проблема запретить подобные действия относительно бинарников в хомяке или tmpfs, можете не волноваться.<br><br>хомяк смонтирован с за запретом на исполнение бинарников<br><br>для тех кому все же можно компилить и запускать есть отдельный раздел для девелоперов.<br><br>И все же<br>С chroot много возни, так как это сервер терминалов на freenx и юзеров достаточно много.<br><br>Меня больше волнует чтобы не запускали проги, которые начнут сильно мучить винт например и жрать ресурсы (которые разумеется можно ограничить разумеется через ulimit, а диск через квоты, не вопрос)<br><br>Но вот например tracker сильно мучает винты, в результате например проблемы по iowait. Тем более если его пустят сразу куча пользователей, на ветвистых и часто изменяющихся директориях. <br>Однако ж, парочке пользователям он таки нужен.<br>Совсем запрещать eclipse или openoffice не нужно, но они не нужны всем, только некоторым. Зачем им давать возмо https://opennet.dev/openforum/vsluhforumID1/85690.html#2 Tue, 23 Jun 2009 14:04:18 GMT может через sudo<br> https://opennet.dev/openforum/vsluhforumID1/85690.html#1 Tue, 23 Jun 2009 13:46:38 GMT &gt;[оверквотинг удален]<br>&gt;2. задействовать чтото типа cfengine <br>&gt;3. или есть наиболее стандартный метод, который я просто не углядел <br>&gt;<br>&gt;Требуется решение для дистров основанных и на rpm, и на deb. <br>&gt;И было круто если бы <br>&gt;rpm -V tracker <br>&gt;не ругался бы после этого: <br>&gt;.M....G.. /usr/libexec/trackerd <br>&gt;<br>&gt;PS tracker выбран только в качестве примера <br><br>мысли на тему "а что будет, если юзер зальет свой бинарник (или скомпилит его сам)" вас еще не посещали ?<br><br>