Control++: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Нет описания правки
Строка 118: Строка 118:
Для принудительной установки режима (отмены диалогов подтверждения) следует передать флаг <code>--force | -f</code>;
Для принудительной установки режима (отмены диалогов подтверждения) следует передать флаг <code>--force | -f</code>;


Для включения проверки уникальности записей режима прав следует передать флаг <code>--uniq | -u</code>.
Для выключения проверки уникальности записей режима прав следует передать флаг <code>--nonuniq | -n</code>.
== Ссылки ==
== Ссылки ==


Версия от 17:29, 11 ноября 2018

control++ - консольная программа для настройки GNU+Linux системы, позволяющая переключать режимы, каждый из которых определяется своим файлом ulimits, а также своим набором описаний прав на файлы системы и запускаемым сценарием оболочки, а также контролировать соответствие между параметрами установленного ранее режима и текущим состоянием системы.

Написана на C++, имеет минималистический дизайн (зависит лишь от собственной библиотеки). Распространяется по лицензии GPLv3.0.

Принцип работы

При запуске программы для переключения режима, например control++ <название_режима>, которому соответствует вариант ограничений ulims_x, вариант прав perm_y и сценарий sh_z, программа попытается скопировать файл /etc/control++/ulimits/ulims_x в каталог /etc/security/limits.d/ (таким образом, чтобы он имел наивысший приоритет среди уже имеющихся файлов ulimits), попытается применить права на файлы в соответствии с описанием в /etc/control++/permissions/perm_y и запустить сценарий /etc/control++/permissions/sh_z/do. В случае невозможности осуществления какой-либо из операций будет выведено сообщение об ошибке. Если какой-то из параметров не указан (например, название сценария оболочки), то соответствующая операция не будет выполняться.

При установке режима ограничений и прав формируются данные, обеспечивающие возможность возврата к исходному состоянию при сбросе текущего режима. Также при каждой установке режима сохраняется описание установленного режима. Файлы, содержащие обозначенные данные, хранятся в /var/lib/control++ и никогда не должны изменяться пользователем вручную. При каждой установке режима происходит предварительный сброс текущего режима.

При проверке соответствия текущего состояния системы параметрам установленного ранее режима осуществляется:

  1. Сравнение содержимого наиболее приоритетного ulimits-файла из каталога /etc/security/limits.d/ с содержимым ulimits-файла, сохранённого при установке данного режима;
  2. Сравнение текущих режимов всех файлов, затронутых установкой данного режима, с текущим описанием прав, которое носит название установленного подрежима;
  3. Запуск test-сценария данного режима, при наличии такого сценария (его отсутствие не считается ошибкой).

Если какой-то из файлов, перечисленных в описании прав для данного режима, отсутствует в системе, то установка данного режима не будет считаться по этой причине неуспешной. Также, при проверке соответствия режима, права отсутствующего файла не считаются несоответствующими правам, указанным в описании режима.

Настройка

Основной режим

Параметры control++ определяются файлом ini-формата /etc/control++/control++.conf. Данный ini-файл состоит из секций описания каждого из режимов; Название секции соответствует названию режима; Каждая из секций может состоять из определения варианта ограничений (ulimits), варианта набора прав (permissions) и запускаемого сценария оболочки для данного режима (scripts). Далее приведён пример описания режима под названием workstation, который имеет тип ulimits под названием u_x, тип permissions под названием p_y и запускаемый сценарий оболочки s_z/do: 

[workstation]
ulimits = u_x
permissions = p_y
scripts = s_z

Все файлы настроек могут быть отредактированы вручную системным администратором при настройке нужных конфигураций.

Режим ULimits

Файлы ulimits для каждого варианта ограничений находятся в /etc/control++/ulimits/название_варианта.

Режим прав на файлы

Файлы с описанием набора прав являются файлами ini-формата и находятся в /etc/control++/permissions/название_варианта. Описание прав может состоять из следующих секций:

  • file - секция, задающая права на файл, абсолютный путь которого определяется значением path данной секции;
  • dir - секция, задающая права на файлы каталога и всех содержащихся в нём файлов без учёта содержимого подкаталогов, абсолютный путь которого определяется значением path данной секции;
  • dir_r - секция, задающая права на файлы каталога и всех содержащихся в нём файлов с учётом содержимого подкаталогов (рекурсивный обход дерева подкаталогов), абсолютный путь которого определяется значением path;
  • list - секция, задающая права на файлы, список абсолютных путей которых задан в текстовом файле, абсолютный путь которого определяется значением path данной секции;
    • whitelist - вариация секции list, для которой устанавливаемый режим файлов определён как **x**x**x (* означает не менять данный бит режима);
    • blacklist - вариация секции list, для которой устанавливаемый режим файлов определён как **-**-**-.

Помимо значения path для секций file, dir, dir_r и list должны быть определены следующие значения:

  • owner - название учётной записи владельца файла;
  • group - название группы, к которой относится файл;
  • mode - режим файла в формате rwxrwxrwx (например, rw-rw-rw- означает разрешить всем чтение и запись, но запретить всем запуск данного файла; rwx------ означает резрешить все действия владельцу файла и запретить все действия всем остальным; Для того, чтобы не изменять какой-то бит режима, следует использовать символ *, например r**r**r** означает разрешить всем чтение файла и не менять остальные права).

Единственным необходимым значением является path. При отсутствии определения остальных значений данные свойства файла не будут изменены.

Для секций dir, dir_r и list может быть определен дополнительный параметр excluded_paths, определяющий набор каталогов, содержимое которых (в том числе содержимое вложенных каталогов) не будет затронуто применением прав, описанных данной секцией.

Для секций dir и dir_r может быть определен дополнительный параметр mode_for_dirs, определяющий режим для вложенных каталогов, затрагиваемых применением прав, описанных данной секцией.

Для секции list (whitelist, blacklist) может быть определен дополнительный параметр base_dir, определяющий каталог, рассматриваемый при применении данного режима прав как каталог верхнего уровня. Например, пусть в секции whitelist параметру base_dir присвоено значение /home/your_home_dir/, пусть в списке файлов, к которым должен быть применён данный режим, указаны два пути - /d1/f1, f2 и пусть excluded_paths присвоено значение /d0, тогда при установке данного режима файлы /home/your_home_dir/d1/f1 и /home/your_home_dir/f2, а также все файлы каталога /home/your_home_dir/d0 (включая содержимое вложенных каталогов) сохранят свой режим, а все остальные файлы каталога /home/your_home_dir/ станут неисполняемыми.

Пример описания набора прав: 

[file]
path = ~/some_dir_1/some_file_1
owner = some_user
group = some_group
mode = rwxrwx---

[file]
path = ~/some_dir_1/some_file_2
mode = rw-rw----

[dir_r]
path = ~/some_dir_2/
owner = some_user
group = some_group
mode = **x**x**x
mode_for_dirs = r*xr*xr*x

[list]
path = ~/list_of_executables.txt
excluded_paths = "/some_path/", "/some_other_path/"
owner = some_user
group = some_group
mode = **x**x**-

[blacklist]
path = ~/some_blacklist.txt

[whitelist]
path = ~/some_whitelist.txt
base_dir = /mnt/some_vol/
excluded_paths = /some_path_inside_base_dir/

ВНИМАНИЕ - при установке прав для секции whitelist следует помнить, что при наличии запускаемого сценария /etc/control++/scripts/<название_режима>/do у режима данный файл сценария следует учесть в списке разрешённых для запуска файлов, в противном случае возможна ситуация, при которой в результате установки режима прав данный файл станет неисполняемым, что приведёт к невозможности завершения установки данного режима.

Запускаемые сценарии

Файлы сценариев оболочки находятся в /etc/control++/scripts/название_варианта/do. Также каталог /etc/control++/scripts/название_варианта/ может содержать файлы undo и test для выполнения действий обратных действиям сценария do и проверки действенности сценария do соответственно.

Использование

Как правило, осуществлять изменение прав на системные файлы, а также осуществлять запись в каталог /etc/security/limits.d/ может только пользователь root, поэтому для успешной работы control++ возможно будет необходимым запусть его от пользователя root.

Установка режима:

control++ <название_режима>

Сброс текущего режима:

control++ reset

Отображение списка доступных режимов:

control++ list

Проверка соответсвия состояния системы текущему режиму:

control++ status

Отображение содержимого главного файла настройки:

control++ conf

Отображение справочной информации:

control++ help

Для включения режима упрощённого вывода следует передать дополнительный флаг --plain | -p;

Для принудительной установки режима (отмены диалогов подтверждения) следует передать флаг --force | -f;

Для выключения проверки уникальности записей режима прав следует передать флаг --nonuniq | -n.

Ссылки

Проект на git.altlinux.org
libcontrol++