Control++:Blacklist/Whitelist: различия между версиями

control++ может быть использован для применения чёрных/белых списков файлов.

Постановка задачи

1. Имеется текстовый файл /some_path/some_blacklist.txt, называемый чёрным списком, каждая строка которого представляет собой абсолютный путь к файлу данной системы; По единой команде должно производиться запрещение запуска (исполнения) всех файлов чёрного списка (по-умолчанию - для всех пользователей);
2. Имеется текстовый файл /some_path/some_whitelist.txt, называемый белым списком, каждая строка которого представляет собой абсолютный путь к файлу данной системы; По единой команде должно производиться запрещение запуска (исполнения) всех файлов системы, кроме файлов белого списка, а запуск (исполнение) файлов белого списка должен быть резрешён (по-умолчанию - для всех пользователей).

Решение поставленной задачи

Правка основного файла настройки control++

Добавить в файл настройки /etc/control++/control++.conf секцию, обозначающую режим control++ с определённым названием (в данном примере режим имеет название some_mode_name), и требующую установку определённого режима прав на файлы (в данном примере режим прав на файлы имеет название some_perm_mode_name):

[some_mode_name]
permissions = some_perm_mode_name

Создание/правка файла настройки режима прав на файлы

Поместить в каталог /etc/control++/samples/permissions файл с описанием режима прав на файлы (в данном примере режим прав на файлы имеет название some_perm_mode_name, его абсолютный путь при этом будет равен /etc/control++/samples/permissions/some_perm_mode_name) и задать ему следующее содержимое (минимальный вариант):

• Для задания применения чёрного списка

[blacklist]
path = /some_path/some_blacklist.txt

• Для задания применения белого списка

[whitelist]
path = /some_path/some_whitelist.txt

Возможно задание следующих дополнительных параметров:

• base_dir - определяет каталог, рассматриваемый при применении данного режима прав как каталог верхнего уровня;
• excluded_paths - определяет набор каталогов, содержимое которых (в том числе содержимое вложенных каталогов) не будет затронуто применением прав, описанных данной секцией (с учётом base_dir, т.е. если требуется исключить каталог /usr/lib, а base_dir равен /usr, то excluded_paths следует присвоить значение lib);
• mode - режим в формате rwxrwxrwx, применяемый к файлам, перечисленным в чёрном/белом списке (по-умолчанию для белого списка **x**x**x, для чёрного списка **-**-**-, где символ * означает сохранение текущего значения данного бита прав);
• mode_for_dirs - определяет режим для вложенных каталогов, затрагиваемых применением прав, описанных данной секцией (самих каталогов -- обычные файлы и ссылки, вложенные в эти каталоги не затрагиваются данным параметром); Данный параметр предусмотрен для обеспечения возможности оставить вложенные каталоги пригодными для навигации по ним (режим r*xr*xr*x);
• owner - название учётной записи владельца файла, назначаемого для файлов, перечисленных в чёрном/белом списке (по-умолчанию владелец перечисленных файлов при применении чёрного/белого списка не изменяется);
• group - название группы, к которой относится файл, назначаемой для файлов, перечисленных в чёрном/белом списке (по-умолчанию группа для перечисленных файлов при применении чёрного/белого списка не изменяется).

Пример описания режима прав с применением дополнительных параметров:

[whitelist]
path = /some_path/some_whitelist.txt
base_dir = "/usr"
excluded_paths = "lib", "local/lib",
mode = *-x*-x*-x
mode_for_dirs = *********
owner = some_user
group = some_group

Задание значения любого из дополнительных параметров может отсутствовать/присутствовать в описании прав независимо от присутствия/отсутствия задания значений других дополнительных параметров.

Ссылки

Основное описание control++