Control++:Blacklist/Whitelist

Материал из ALT Linux Wiki

control++ может быть использован для применения чёрных/белых списков файлов.

Постановка задачи

  1. Имеется текстовый файл /some_path/some_blacklist.txt, называемый чёрным списком, каждая строка которого представляет собой абсолютный путь к файлу данной системы; По единой команде должно производиться запрещение запуска (исполнения) всех файлов чёрного списка (по-умолчанию - для всех пользователей);
  2. Имеется текстовый файл /some_path/some_whitelist.txt, называемый белым списком, каждая строка которого представляет собой абсолютный путь к файлу данной системы; По единой команде должно производиться запрещение запуска (исполнения) всех файлов системы, кроме файлов белого списка, а запуск (исполнение) файлов белого списка должен быть резрешён (по-умолчанию - для всех пользователей).

Решение поставленной задачи

Правка основного файла настройки control++

Добавить в файл настройки /etc/control++/control++.conf секцию, обозначающую режим control++ с определённым названием (в данном примере режим имеет название some_mode_name), и требующую установку определённого режима прав на файлы (в данном примере режим прав на файлы имеет название some_perm_mode_name):

[some_mode_name]
permissions = some_perm_mode_name

Создание/правка файла настройки режима прав на файлы

Поместить в каталог /etc/control++/samples/permissions файл с описанием режима прав на файлы (в данном примере режим прав на файлы имеет название some_perm_mode_name, его абсолютный путь при этом будет равен /etc/control++/samples/permissions/some_perm_mode_name) и задать ему следующее содержимое (минимальный вариант):

  • Для задания применения чёрного списка
[blacklist]
path = /some_path/some_blacklist.txt
  • Для задания применения белого списка
[whitelist]
path = /some_path/some_whitelist.txt

Возможно задание следующих дополнительных параметров:

  • base_dir - определяет каталог, рассматриваемый при применении данного режима прав как каталог верхнего уровня;
  • excluded_paths - определяет набор каталогов, содержимое которых (в том числе содержимое вложенных каталогов) не будет затронуто применением прав, описанных данной секцией (с учётом base_dir, т.е. если требуется исключить каталог /usr/lib, а base_dir равен /usr, то excluded_paths следует присвоить значение lib);
  • mode - режим в формате rwxrwxrwx, применяемый к файлам, перечисленным в чёрном/белом списке (по-умолчанию для белого списка **x**x**x, для чёрного списка **-**-**-, где символ * означает сохранение текущего значения данного бита прав);
  • mode_for_dirs - определяет режим для вложенных каталогов, затрагиваемых применением прав, описанных данной секцией (самих каталогов -- обычные файлы и ссылки, вложенные в эти каталоги не затрагиваются данным параметром); Данный параметр предусмотрен для обеспечения возможности оставить вложенные каталоги пригодными для навигации по ним (режим r*xr*xr*x);
  • owner - название учётной записи владельца файла, назначаемого для файлов, перечисленных в чёрном/белом списке (по-умолчанию владелец перечисленных файлов при применении чёрного/белого списка не изменяется);
  • group - название группы, к которой относится файл, назначаемой для файлов, перечисленных в чёрном/белом списке (по-умолчанию группа для перечисленных файлов при применении чёрного/белого списка не изменяется).

Пример описания режима прав с применением дополнительных параметров:

[whitelist]
path = /some_path/some_whitelist.txt
base_dir = "/usr"
excluded_paths = "lib", "local/lib",
mode = *-x*-x*-x
mode_for_dirs = *********
owner = some_user
group = some_group

Задание значения любого из дополнительных параметров может отсутствовать/присутствовать в описании прав независимо от присутствия/отсутствия задания значений других дополнительных параметров.

Ссылки

Основное описание control++