/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
nixpille
Fra : Grundtvigsskolen


Dato : 21-11-03 10:47

hej

er der nogen der kender et gratisprogram der har samme funktion som nixpille
eller ligende.
Jeg er systemadm. på en en skole og vil gerne gøre min hverdag lettere

hilsen





 
 
Claus U (21-11-2003)
Kommentar
Fra : Claus U


Dato : 21-11-03 12:06

Grundtvigsskolen wrote:

> er der nogen der kender et gratisprogram der har samme funktion som
> nixpille eller ligende.
> Jeg er systemadm. på en en skole og vil gerne gøre min hverdag lettere

Kender ikke noget gratisprogram, men på mit arbejde (bibliotek) bruger vi
Deep Freeze til vores publikumscomputere. Genialt program der retablere
maskinen hver gang computeren genstartes.

http://www.deepfreezeusa.com/standard.htm

--
Claus U

Grundtvigsskolen (21-11-2003)
Kommentar
Fra : Grundtvigsskolen


Dato : 21-11-03 13:45

Mange tak for dette. Har lige prøvet en 60 dages version.
kanon program
Jeg tror jeg punger ud.

"Claus U" <nospam.remove.all.valid@dumbass.dk> skrev i en meddelelse
news:2079532.ezGQT6zOy3@cykeltyven.dk...
> Grundtvigsskolen wrote:
>
> > er der nogen der kender et gratisprogram der har samme funktion som
> > nixpille eller ligende.
> > Jeg er systemadm. på en en skole og vil gerne gøre min hverdag lettere
>
> Kender ikke noget gratisprogram, men på mit arbejde (bibliotek) bruger vi
> Deep Freeze til vores publikumscomputere. Genialt program der retablere
> maskinen hver gang computeren genstartes.
>
> http://www.deepfreezeusa.com/standard.htm
>
> --
> Claus U



Thomas W. (22-11-2003)
Kommentar
Fra : Thomas W.


Dato : 22-11-03 13:27


"Claus U" <nospam.remove.all.valid@dumbass.dk> wrote in message
news:2079532.ezGQT6zOy3@cykeltyven.dk...
> Grundtvigsskolen wrote:
>
> > er der nogen der kender et gratisprogram der har samme funktion som
> > nixpille eller ligende.
> > Jeg er systemadm. på en en skole og vil gerne gøre min hverdag lettere
>
> Kender ikke noget gratisprogram, men på mit arbejde (bibliotek) bruger vi
> Deep Freeze til vores publikumscomputere. Genialt program der retablere
> maskinen hver gang computeren genstartes.
>
> http://www.deepfreezeusa.com/standard.htm
>

Kender du noget tilsvarende som freeware/open source?

/Thomas



Kent Friis (22-11-2003)
Kommentar
Fra : Kent Friis


Dato : 22-11-03 14:38

Den Sat, 22 Nov 2003 13:26:50 +0100 skrev Thomas W.:
>
>"Claus U" <nospam.remove.all.valid@dumbass.dk> wrote in message
>news:2079532.ezGQT6zOy3@cykeltyven.dk...
>> Grundtvigsskolen wrote:
>>
>> > er der nogen der kender et gratisprogram der har samme funktion som
>> > nixpille eller ligende.
>> > Jeg er systemadm. på en en skole og vil gerne gøre min hverdag lettere
>>
>> Kender ikke noget gratisprogram, men på mit arbejde (bibliotek) bruger vi
>> Deep Freeze til vores publikumscomputere. Genialt program der retablere
>> maskinen hver gang computeren genstartes.
>>
>> http://www.deepfreezeusa.com/standard.htm
>>
>
>Kender du noget tilsvarende som freeware/open source?

Slet brugerens hjemmekatalog, og kopier filerne fra /etc/skel igen.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Kasper Dupont (22-11-2003)
Kommentar
Fra : Kasper Dupont


Dato : 22-11-03 21:53

Kent Friis wrote:
>
> Slet brugerens hjemmekatalog, og kopier filerne fra /etc/skel igen.

Den nemmeste måde at gøre det er nok at simpelthen
bruge userdel efterfulgt af useradd. Jeg har nogle
gange tænkt på, om det nu overhovedet er nødvendigt
at genstarte for at gøre det. Jeg synes det kunne
være smart at kunne gøre det f.eks. ved logout. Det
kunne f.eks. være vældigt praktisk med offentlige
maskiner på biblioteker, netcaféer og lignende
stedder, hvis man bare kunne trykke Ctrl+Alt+Backspace
og den så var i en veldifineret tilstand på trods af
hvad den tidligere bruger måtte have lavet.

Det eneste problem jeg ikke lige har fundet en løsning
på er, hvordan man på pålidelig vis stopper alle
processer hørende til den givne bruger.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Kent Friis (22-11-2003)
Kommentar
Fra : Kent Friis


Dato : 22-11-03 22:19

Den Sat, 22 Nov 2003 21:53:02 +0100 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Slet brugerens hjemmekatalog, og kopier filerne fra /etc/skel igen.
>
>Den nemmeste måde at gøre det er nok at simpelthen
>bruge userdel efterfulgt af useradd.

Det vil (nogen gange) skifte brugerid'en. Om det er et problem afhænger
af situationen.

>Jeg har nogle
>gange tænkt på, om det nu overhovedet er nødvendigt
>at genstarte for at gøre det.

Genstarte? Man genstarter for at opgradere kernen, og for at udskifte
hardware.

Men du opfatter måske brugerne som hardware?

(Ud fra definitionen "hardware er alt det man kan sparke til", må de
egentlig være det).

>Jeg synes det kunne
>være smart at kunne gøre det f.eks. ved logout. Det
>kunne f.eks. være vældigt praktisk med offentlige
>maskiner på biblioteker, netcaféer og lignende
>stedder, hvis man bare kunne trykke Ctrl+Alt+Backspace
>og den så var i en veldifineret tilstand på trods af
>hvad den tidligere bruger måtte have lavet.

Ctrl-alt-backspace er ikke en normal logout, det dræber X-serveren
inden logout-scripts får tid til at køre.

Jeg ville nok vælge at gøre det ved login i stedet.

>Det eneste problem jeg ikke lige har fundet en løsning
>på er, hvordan man på pålidelig vis stopper alle
>processer hørende til den givne bruger.

kill -15 -1; sleep 1; kill -9 -1

som brugeren, IKKE SOM ROOT!!! (-1 = alt).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Kasper Dupont (23-11-2003)
Kommentar
Fra : Kasper Dupont


Dato : 23-11-03 01:00

Kent Friis wrote:
>
> Den Sat, 22 Nov 2003 21:53:02 +0100 skrev Kasper Dupont:
> >Kent Friis wrote:
> >>
> >> Slet brugerens hjemmekatalog, og kopier filerne fra /etc/skel igen.
> >
> >Den nemmeste måde at gøre det er nok at simpelthen
> >bruge userdel efterfulgt af useradd.
>
> Det vil (nogen gange) skifte brugerid'en. Om det er et problem afhænger
> af situationen.

-u

>
> >Jeg har nogle
> >gange tænkt på, om det nu overhovedet er nødvendigt
> >at genstarte for at gøre det.
>
> Genstarte? Man genstarter for at opgradere kernen, og for at udskifte
> hardware.

Enig. Min arbejdsstation har i øjeblikket en uptime på 82 døgn.

>
> Men du opfatter måske brugerne som hardware?

Nej, der blev bare spurgt til reetablering ved genstart.

>
> (Ud fra definitionen "hardware er alt det man kan sparke til", må de
> egentlig være det).

LOL

>
> Ctrl-alt-backspace er ikke en normal logout, det dræber X-serveren
> inden logout-scripts får tid til at køre.

Det ved jeg. Tanken var at have et script til at ryde op efter
brugeren og lave et frisk homedirectory inden X blev startet
igen. Logout scripts er overflødige i det scenarie jeg har i
tankerne. Hvad fornuftigt kunne de alligevel foretage sig?

>
> Jeg ville nok vælge at gøre det ved login i stedet.
>
> >Det eneste problem jeg ikke lige har fundet en løsning
> >på er, hvordan man på pålidelig vis stopper alle
> >processer hørende til den givne bruger.
>
> kill -15 -1; sleep 1; kill -9 -1
>
> som brugeren, IKKE SOM ROOT!!! (-1 = alt).

Antag en ondskabsfuld bruger, som ønsker at lave et program,
som overlever proceduren. Programmet fanger det første signal,
og slår processen i hjel inden det andet signal når at blive
sendt. Findes der en metode, hvor det er umuligt for et
ondskabsfuldt program at overleve?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Kent Friis (23-11-2003)
Kommentar
Fra : Kent Friis


Dato : 23-11-03 02:25

Den Sun, 23 Nov 2003 00:59:53 +0100 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Den Sat, 22 Nov 2003 21:53:02 +0100 skrev Kasper Dupont:
>> >Kent Friis wrote:
>> >>
>> >> Slet brugerens hjemmekatalog, og kopier filerne fra /etc/skel igen.
>> >
>> >Den nemmeste måde at gøre det er nok at simpelthen
>> >bruge userdel efterfulgt af useradd.
>>
>> Det vil (nogen gange) skifte brugerid'en. Om det er et problem afhænger
>> af situationen.
>
>-u

Den kendte jeg ikke lige. Men jeg kan stadig ikke se den store fordel
i at slette brugeren, og fornemmer stadig et par potentielle ulemper
(om ikke andet så er der en race-condition hvor en anden useradd der
kører i det øjeblik imellem userdel og useradd kan nå at snuppe uid'en).

>> >Jeg har nogle
>> >gange tænkt på, om det nu overhovedet er nødvendigt
>> >at genstarte for at gøre det.
>>
>> Genstarte? Man genstarter for at opgradere kernen, og for at udskifte
>> hardware.
>
>Enig. Min arbejdsstation har i øjeblikket en uptime på 82 døgn.
>
>>
>> Men du opfatter måske brugerne som hardware?
>
>Nej, der blev bare spurgt til reetablering ved genstart.

Windows-folk, går jeg ud fra.

Hvis det kun er den ene gang hver tredje år maskinen bliver genstartet
at det er nødvendigt, kan man vel lige så godt installere forfra -
sikkert endda på nyt hardware.

>> (Ud fra definitionen "hardware er alt det man kan sparke til", må de
>> egentlig være det).
>
>LOL

Det er faktisk en ret god definition på forskellen mellem hardware
og software.

>> Ctrl-alt-backspace er ikke en normal logout, det dræber X-serveren
>> inden logout-scripts får tid til at køre.
>
>Det ved jeg. Tanken var at have et script til at ryde op efter
>brugeren og lave et frisk homedirectory inden X blev startet
>igen. Logout scripts er overflødige i det scenarie jeg har i
>tankerne. Hvad fornuftigt kunne de alligevel foretage sig?

Var det ikke dig selv der nævnte logout-scripts? Det var netop det
der var min pointe, at logout-scripts ikke er det rigtige sted at
placere det.

>> Jeg ville nok vælge at gøre det ved login i stedet.
>>
>> >Det eneste problem jeg ikke lige har fundet en løsning
>> >på er, hvordan man på pålidelig vis stopper alle
>> >processer hørende til den givne bruger.
>>
>> kill -15 -1; sleep 1; kill -9 -1
>>
>> som brugeren, IKKE SOM ROOT!!! (-1 = alt).
>
>Antag en ondskabsfuld bruger, som ønsker at lave et program,
>som overlever proceduren. Programmet fanger det første signal,
>og slår processen i hjel inden det andet signal når at blive
>sendt. Findes der en metode, hvor det er umuligt for et
>ondskabsfuldt program at overleve?

Jeg kan ikke lige finde en løsning der ikke kræver at man skal
igang med at kode, og selv der kan det blive svært at få ram på
en process der skifter pid hele tiden.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Kasper Dupont (23-11-2003)
Kommentar
Fra : Kasper Dupont


Dato : 23-11-03 10:36

Kent Friis wrote:
>
> Den Sun, 23 Nov 2003 00:59:53 +0100 skrev Kasper Dupont:
> >
> >-u
>
> Den kendte jeg ikke lige. Men jeg kan stadig ikke se den store fordel
> i at slette brugeren, og fornemmer stadig et par potentielle ulemper
> (om ikke andet så er der en race-condition hvor en anden useradd der
> kører i det øjeblik imellem userdel og useradd kan nå at snuppe uid'en).

Tja? Det med at UIDen bliver snuppet er nok nemt at undgå, hvis
man ved, hvordan det bliver tildelt. I øvrigt mener jeg sagtens
man med -u kan lave to accounts med samme UID, med de konsekvenser,
som det nu engang har.

Hvis der er mulighed for en race condition med uheldige
konsekvenser kan man selvfølgelig vælge en anden fremgangsmåde.
Der er andre nemme løsninger.

>
> Var det ikke dig selv der nævnte logout-scripts?

Jeg sagde det skulle ske ved logout, ikke at det skulle ske i
et logout script. Altså når man logger ud skal et script eller
program med root permissions sørge for, at alle brugerens
processer bliver slået ned før brugerens filer slettes og
genetableres. Til sidst startes en ny X server, hvor brugeren
automatisk logges ind.

>
> >> Jeg ville nok vælge at gøre det ved login i stedet.
> >>
> >> >Det eneste problem jeg ikke lige har fundet en løsning
> >> >på er, hvordan man på pålidelig vis stopper alle
> >> >processer hørende til den givne bruger.
> >>
> >> kill -15 -1; sleep 1; kill -9 -1
> >>
> >> som brugeren, IKKE SOM ROOT!!! (-1 = alt).
> >
> >Antag en ondskabsfuld bruger, som ønsker at lave et program,
> >som overlever proceduren. Programmet fanger det første signal,
> >og slår processen i hjel inden det andet signal når at blive
> >sendt. Findes der en metode, hvor det er umuligt for et
> >ondskabsfuldt program at overleve?
>
> Jeg kan ikke lige finde en løsning der ikke kræver at man skal
> igang med at kode, og selv der kan det blive svært at få ram på
> en process der skifter pid hele tiden.

Jeg ville nok vælge at skrive et C program til at gøre det.
Men programmer der laver numre i retning af:
if (fork()) _exit(0);
og samtidig prøver at slå min process ihjel, kan nok blive et
problem. Det bedste jeg lige kan komme i tanke om er:

for (i=0;i<42;++i) {
pid_t child=fork();
switch (child) {
case 0: if (!setuid(uid)) kill(-1,SIGKILL); _exit(0);
case -1: sleep(1); break;
default: waitpid(child,NULL,0);
}
}

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Kent Friis (23-11-2003)
Kommentar
Fra : Kent Friis


Dato : 23-11-03 11:13

Den Sun, 23 Nov 2003 10:36:03 +0100 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Den Sun, 23 Nov 2003 00:59:53 +0100 skrev Kasper Dupont:
>> >
>> >-u
>>
>> Den kendte jeg ikke lige. Men jeg kan stadig ikke se den store fordel
>> i at slette brugeren, og fornemmer stadig et par potentielle ulemper
>> (om ikke andet så er der en race-condition hvor en anden useradd der
>> kører i det øjeblik imellem userdel og useradd kan nå at snuppe uid'en).
>
>Tja? Det med at UIDen bliver snuppet er nok nemt at undgå, hvis
>man ved, hvordan det bliver tildelt. I øvrigt mener jeg sagtens
>man med -u kan lave to accounts med samme UID, med de konsekvenser,
>som det nu engang har.

Det blev det da kun værre af. Så har den bruger der ikke skulle have
adgang til noget som helst lige pludselig adgang til at ændre filer
der burde være spærret.

>Hvis der er mulighed for en race condition med uheldige
>konsekvenser kan man selvfølgelig vælge en anden fremgangsmåde.
>Der er andre nemme løsninger.
>
>>
>> Var det ikke dig selv der nævnte logout-scripts?
>
>Jeg sagde det skulle ske ved logout, ikke at det skulle ske i
>et logout script.

Ah, ok. Lille detalje, stor forskel.

>> >> Jeg ville nok vælge at gøre det ved login i stedet.
>> >>
>> >> >Det eneste problem jeg ikke lige har fundet en løsning
>> >> >på er, hvordan man på pålidelig vis stopper alle
>> >> >processer hørende til den givne bruger.
>> >>
>> >> kill -15 -1; sleep 1; kill -9 -1
>> >>
>> >> som brugeren, IKKE SOM ROOT!!! (-1 = alt).
>> >
>> >Antag en ondskabsfuld bruger, som ønsker at lave et program,
>> >som overlever proceduren. Programmet fanger det første signal,
>> >og slår processen i hjel inden det andet signal når at blive
>> >sendt. Findes der en metode, hvor det er umuligt for et
>> >ondskabsfuldt program at overleve?
>>
>> Jeg kan ikke lige finde en løsning der ikke kræver at man skal
>> igang med at kode, og selv der kan det blive svært at få ram på
>> en process der skifter pid hele tiden.
>
>Jeg ville nok vælge at skrive et C program til at gøre det.
>Men programmer der laver numre i retning af:
> if (fork()) _exit(0);
>og samtidig prøver at slå min process ihjel, kan nok blive et
>problem. Det bedste jeg lige kan komme i tanke om er:

Hvis du kører den som root, er det uinteressant om den prøver på at
slå din process ihjel.

>for (i=0;i<42;++i) {
> pid_t child=fork();
> switch (child) {
> case 0: if (!setuid(uid)) kill(-1,SIGKILL); _exit(0);

setuid... ok, den mulighed havde jeg ikke tænkt over. Så kan du stadig
ramme alle PID'er på en gang, uden at processen burde have en chance
for at undgå det ved at skifte PID, til gengæld har du igen problemet
med at brugeren har en (lille) chance for at ramme den.

Jeg ville nu stadig give den en SIGTERM først og vente et par
sekunder, inden for-løkken.

> case -1: sleep(1); break;
> default: waitpid(child,NULL,0);
> }
>}

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Kasper Dupont (23-11-2003)
Kommentar
Fra : Kasper Dupont


Dato : 23-11-03 11:44

Kent Friis wrote:
>
> Hvis du kører den som root, er det uinteressant om den prøver på at
> slå din process ihjel.

Pointen er, at afhængig af, hvordan jeg gør, så vil den enten
have mulighed for at skifte pid eller slå min process ihjel.

>
> >for (i=0;i<42;++i) {
> > pid_t child=fork();
> > switch (child) {
> > case 0: if (!setuid(uid)) kill(-1,SIGKILL); _exit(0);
>
> setuid... ok, den mulighed havde jeg ikke tænkt over. Så kan du stadig
> ramme alle PID'er på en gang, uden at processen burde have en chance
> for at undgå det ved at skifte PID, til gengæld har du igen problemet
> med at brugeren har en (lille) chance for at ramme den.

Ja, og chancen er måske lille nok til at jeg ikke behøver
bekymre mig. Og brugeren skal nok være meget heldig for at
overleve mange gange i træk. Ved at også løbe listen af
alle processer igennem og kigge efter ejer, og endeligt
hold øje med /proc/loadavg for at se om der bliver startet
nye processer kan man måske enda være 100% sikker på,
hvornår det er lykkedes. Men jeg havde håbet på en simplere
og stadig sikker måde.

>
> Jeg ville nu stadig give den en SIGTERM først og vente et par
> sekunder, inden for-løkken.

Mindre detalje. Hvis ikke jeg mener processen har noget at
ryde op først, som jeg ikke selv kan klare bagefter, så
er det jo overflødigt.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste