GNU less este un pager elegant. Setați înv var LESSSECURE=1 pentru a dezactiva unele funcții precum alergarea! comenzi shell. Vedea barbat mai putin, secția securitate.
Restricţionarea execuţiei programelor bazate pe reguli şi blocarea altor lucruri se numeşte liste de permisiuni. Un subset de prevenirea executiei atenuări.
O aplicație poate fi limitată la un chroot sau container cu doar setul minim de software definit. Cu toate acestea, probabil că acest lucru nu este potrivit pentru exemplul dvs. de program de analiză a jurnalelor unde nu este singurul lucru care se întâmplă pe gazdă.
O implementare gratuită a blocării aplicațiilor ar fi fapolicyd. Red Hat a preluat-o, de exemplu. În acest caz, este posibil să aveți:
permit perm=execute uid=logviewer: cale=/usr/bin/less
permit perm=execute uid=logviewer : cale=/usr/bin/tail
permit perm=execute uid=logviewer: cale=/usr/bin/cat
permit perm=execute uid=logviewer : cale=/sbin/nologin
deny_audit perm=execută uid=logviewer: toate
Sau, selinux există ca o metodă diferită de control al accesului, care permite o politică personalizată.
Deși o politică de execuție strictă în jurul acestui utilizator poate conta pentru dvs. numai dacă este plauzibil, ele pot rula alte comenzi. Cu mai puțin securizat, fără acreditări pentru contul de serviciu și cu comenzile permise în politica de comutare a utilizatorului (sudo, polkit, doas), nu mai este banal să rulați comenzi arbitrare.
Există modalități de a evita necesitatea unui vizualizator de jurnal pe gazdă. Luați în considerare înregistrarea centralizată, cu unele aplicații pentru a analiza și afișa evenimentele din jurnal.
