Fórum Root.cz
Hlavní témata => Desktop => Téma založeno: mednik 26. 07. 2011, 22:52:15
-
Dobrý deň,
mohli by ste mi poradiť ako by som mohol elegantne zamedziť prístup k nejakým zložkám (v praxi potrebujem to, že aj keď som prihlásený na svoj účet, nechcem mať priamy prístup do niektorých mojich dokumentov)
v súčasnosti to riešim tak, že mám vytvoreného fiktívneho usera, na ktorého nastavím prístupového práva zložky (tým zakážem prístup komukoľvek inému). A tu je malý problém elegancie: keď sa chcem dostať do tej zložky, spúšťam cez terminál konqueror s potrebnými prístupovými právami.
Moja predstava je získanie prístupu priamo cez nejaké dialogove okno (namiesto hlášky, že sa nemôžem pripojiť by mi to ponúklo aj možnosť zadať heslo na prístup(samozrejme dočasný))
-
Ecryptfs. Da se nastelovat tak, aby wrapping passphrase byla odlisna od prihlasovaciho hesla. Pozor na jednu vec: pri setupu vam to vypise mounting passphrase, kterou si mate zapsat nebo jinak ulozit. Tak tak ucinte, protoze kdyz se neco sepsuje, tak se k datum po usilovnem googlovani dostanete jenom pomoci ni.
Pokud si nastavite jinou passphrasi nez prihlasovaci heslo, tak zakazte automount (vymazte soubor automount-neco z .ecryptfs), jinak se vam to nejak namontuje s prihlasovacim heslem a v Private uvidite smeti.
-
pokial možno, chcel by som sa vyhnúť cryptovaniu
-
pokial možno, chcel by som sa vyhnúť cryptovaniu
vyhnut kryptovaniu? hmm.. preco?
ja som pred casom tiez riesil velmy podobny problem co mas ty... mam na disku par textovych dokumentov v ktorych mam citlive info, potreboval som k tymto informaciam pristupovat... jedina rozumna moznost bola kryptovanie
vyriesil som to s GPG http://www.gnupg.org (http://www.gnupg.org)
Pomocou GPG mam zakryptovane data.. ked k nim potrebujem pristupovat tak ich pomocou hesla odkryptujem, nacitam potrebne data (napr. hesla,...), po nacitani pozadovanych dat vymazem docasny subor ktory udrziaval odkryptovane data a je to. Na toto vsetko mam skript takze ma nic nemusi trapit.. len zadam heslo a o vsetko ostatne sa postara stroj.
Nepoznam lepsiu moznost ako uchovavat citlive data ku ktorym treba kazdy den pristupovat ako-tak bezpecne na disku (ak je nieco lepsie necham si poradit)
-
pokial možno, chcel by som sa vyhnúť cryptovaniu
To teda moc nechapu... Mozna by to chtelo trochu vic popsat, ceho vlastne chces dosahnout (proti komu/cemu ma vlastne heslo chranit? Proc chces byt prihlaseny jako uzivatel X a zaroven nemit pristup k nekterym dokumentum uzivatele X? Neni to trochu divny pozadavek?).
Treba by slo vec resit daleko jednoduseji nez kryptovanim, pokud ti jde fakt jenom o ten grafickej prompt (treba nejaky gsudo nebo jak se to jmenuje... s timhle ti nepomuzu, pac to nepouzivam, ale treba by nekdo jinej umel pomoct, kdybys lip specifikoval zadani problemu, hlavne co presne je cilem a co se ti nelibi na soucasnem reseni se spoustenim konqueroru pod jinym uzivatelem)
-
Ospravedlňujem sa za nedostatočné upresnenie problému - opíšem ho teda úplne.
Mám v počítači fotky, ktoré vznikli pri rôznych akciách s kamarátmi, takže na nich mám veľmi pekné spomienky a keď sa ako partia stretneme, tak sa na nich niekedy pozrieme a pospomíname...
Za mojim počítačom "pracuje" niekedy aj priateľka (facebook) a v mojej neprítomnosti má trochu túlavé klikanie myšky. Pri tom sa raz zalogovala na môj účet a rozšírila svoje teritórium túlania (pozná moje heslo - je trochu žiarlivá a keď jej nechám predstavu, že má nad všetkým dohľad, je to s ňou lolo pohoda).
Koniec vzťahu nehrozí, ale aby som nenašiel žiadne moje fotky na facebooku alebo aby som si pred priateľkou zachoval ešte aspoň trochu serióznu tvár (mám tam aj doby dávne zo stuškovej, ktorá bola fakt trapas), potrebujem "zlikvidovať" takéto osobné veci.
Chvíľu som veci schoval pod cryptovanie, ale aby som mal doma pokoj od neustálych otázok, prečo tam nemá prístup
tak som vytvoril nového usera a uložil všetko čo ešte nestihla vidieť tam.
pozn.: moja priateľka má aspoň základné vedomosti o práci a orientácii v systéme, tak nový user má meno aby sa tváril ako systémom vygenerovaný user.
Takto to všetko pekne fungovalo až kým som si s mojimi kamarátmi opäť chcel zaspomínať na všetko. Pri prístupe k súborom cez terminál ma skoro ukameňovali, že čo za ****** systém to používam. Holt, bfu nepochopia
Toľko moje citové výlevy.
- cryptovanie skutočne nepotrebujem, pretože nejde o veľmi citlivé dáta (skôr mierne trápne) (cryptované to mám zálohované)
- nepotrebujem denný prístup k dátam
- ak potrebujem prístup tak veľmi jednoduchý a rýchly
- z bezpečnostného hľadiska stačí zabezpečiť ochranu dát len ich pridelením pod fiktívneho užívateľa
- ide mi skutočne len o grafický prompt, ktorý by bol schopný uskutočniť autorizáciu do iného účtu (namiesto hlášky, že nemám prístup by som mal aj možnosť zadania hesla)
-
pokial možno, chcel by som sa vyhnúť cryptovaniu
To teda moc nechapu... Mozna by to chtelo trochu vic popsat, ceho vlastne chces dosahnout (proti komu/cemu ma vlastne heslo chranit? Proc chces byt prihlaseny jako uzivatel X a zaroven nemit pristup k nekterym dokumentum uzivatele X? Neni to trochu divny pozadavek?).
Treba by slo vec resit daleko jednoduseji nez kryptovanim, pokud ti jde fakt jenom o ten grafickej prompt (treba nejaky gsudo nebo jak se to jmenuje... s timhle ti nepomuzu, pac to nepouzivam, ale treba by nekdo jinej umel pomoct, kdybys lip specifikoval zadani problemu, hlavne co presne je cilem a co se ti nelibi na soucasnem reseni se spoustenim konqueroru pod jinym uzivatelem)
na súčasnom riešení sa mi nepáči, že musím zapísať dva príkazy + heslo v terminály - hlbší zmysel to nemá
-
na súčasnom riešení sa mi nepáči, že musím zapísať dva príkazy + heslo v terminály - hlbší zmysel to nemá
Kam ten svět spěje, když dva příkazy v terminálu obtěžují?! ;)
Tak si třeba ty fotky ulož do souborového filesystému a ten soubor zašantroč na nějaké dostatečně záludné místo typu /var/db/mysql/data/systemtables.db, přimountuj před party s kámošema a po ní odmountuj...
Má to někdo ale problémy! :)))
-
Jo, nejni nad to, kdyz na masine ma kazdy sveho usera a heslo a nelezou si do zeli. A jeste lepsi, kdyz roota mam ja a muzou jen tam, kam je pustim.
-
Jo, nejni nad to, kdyz na masine ma kazdy sveho usera a heslo a nelezou si do zeli. A jeste lepsi, kdyz roota mam ja a muzou jen tam, kam je pustim.
A přitom stačí tak málo: chovat se tak, abych se za to nemusel nikdy stydět a nemusel se bát, že se to někomu nemusí líbit ...
-
To tady nikdo neslysel o MLS? Napriklada implementace MLS SELinux je urcena presne k tomuto ucelu. Oddeleni uzivatelu a roli (jen mala cast SELinuxu). ;)
-
Jo, nejni nad to, kdyz na masine ma kazdy sveho usera a heslo a nelezou si do zeli. A jeste lepsi, kdyz roota mam ja a muzou jen tam, kam je pustim.
A přitom stačí tak málo: chovat se tak, abych se za to nemusel nikdy stydět a nemusel se bát, že se to někomu nemusí líbit ...
Toto prosim neberte vazne, ale jako vtip. Na tomhle principu je postaveno statni utahovani sroubu svobody.
-
Toto prosim neberte vazne, ale jako vtip. Na tomhle principu je postaveno statni utahovani sroubu svobody.
To je ale blábol.
BTW, nepotřebuji (a ani nestojím) o vykladače toho, co jsem kdy řekl, nebo napsal.
-
Toto prosim neberte vazne, ale jako vtip. Na tomhle principu je postaveno statni utahovani sroubu svobody.
To je ale blábol.
BTW, nepotřebuji (a ani nestojím) o vykladače toho, co jsem kdy řekl, nebo napsal.
Ja myslim, ze to neni blabol. Je jasny, ze tobe, jako autorovi toho vyroku o nepotrebe ochrany soukromi to jako blablo prijde.
-
Ahoj, myslím, že mám elegantní, jednoduché a ne-terminálové řešení. Nejdříve bych popsal, jak si uchovávám své citlivé soubory já.
Používám vlastní script o asi 20 řádcích, který mi automaticky zašifruje/rozšifruje celou složku pomocí openssl. Abych k tomu nemusel přistupovat přes terminál, použítám zenity. Takže to funguje takhle: mám soubor "slozka.enc" a ten můj script. Dám dvojklik na ten script, otevře se mi okénko, které se ptá na heslo. Zadám heslo a vytvoří se mi složka "slozka" a smaže se zacryptovaný soubor. Já si prohlédnu potřebné soubory, pak znovu spustím script a ten se mě zase okénkem zeptá na heslo. Zadám heslo a složka se zase zašifruje do souboru "slozka.enc" a složka "slozka" se smaže.
U tebe by mělo jít použít něco dost podobného. Navrhoval bych toto: v /usr/bin budeš mít umístěn script s názvem třeba "abcd" (nebo mu dáš nějaký maskovanější název). Tento script můžeš tedy snadno spouštět tak, že dáš Alt+F2 a napíšeš "abcd" a dáš Enter.
Tento script jednoduše udělá to, že se tě pomocí grafického okénka zeptá na heslo a pokud zadáš správné, tak prostě přesune složku /usr/share/games/abcd do umístění /home/tvyjmeno/abcd . Skript to vždycky bude střídat - jednou to přemístí tam, jednou zpátky.
Co ty na to? Jestli si s tím nevíš rady, tak ti to klidně napíšu až budu doma. Dá se to všelijak zesložiťovat - zakopeš tu složku někam hloubš, můžeš jí třeba taky ještě zakryptovat a podobně.
-
Toto prosim neberte vazne, ale jako vtip. Na tomhle principu je postaveno statni utahovani sroubu svobody.
To je ale blábol.
BTW, nepotřebuji (a ani nestojím) o vykladače toho, co jsem kdy řekl, nebo napsal.
Ja myslim, ze to neni blabol. Je jasny, ze tobe, jako autorovi toho vyroku o nepotrebe ochrany soukromi to jako blablo prijde.
Blábol to je.
A přechází to v ubohou a hloupou demagogii.
Nikde jsem nic nepsal o "nepotřebě ochrany soukromí".
Zřejmě jsi další z těch, kteří vědí nejlépe, co si myslí ti druzí a rádi za ně mluví. A vědí naprosto jasně, co ti druzí potřebují a co pro ně bude nejlepší.
Takových soudruhů já už zažil ...
-
Prostě jí vytvoř její uživatelský účet a ať používá ten. Můžete být přihlášení i oba současně a přepínat se (programy toho druhého zůstanou běžet).
-
To tady nikdo neslysel o MLS? Napriklada implementace MLS SELinux je urcena presne k tomuto ucelu. Oddeleni uzivatelu a roli (jen mala cast SELinuxu). ;)
podľa toho, čo som si prečítal o mls neviem, či mi to pomôže - napíšem postup ako by som postupoval a napíš mi prosím, či to chápem správne
- nainstalujem selinux-policy-mls (balíček pre debian)
- vytvorím fiktivneho usera a nakopírujem tam súbory
- pomocou mls nastavím prístup pre seba na fiktívneho usera -> zabezpečím prístup na súbory fiktívneho usera
dôsledky:
- v tomto stave nebude mať priateľka prístup na účet fiktívneho usera (má vlastný účet)
- v prípade, že sa prihlási na môj účet tak táto ochrana padá (aj keď je málo pravdepodobné, že by sa išla hrabať z môjho účtu na iné účty)
nie je to v podstate to isté ako len vytvorenie group a potrebné zdieľanie (na čo potrebujem mls?)
-
Ahoj, myslím, že mám elegantní, jednoduché a ne-terminálové řešení. Nejdříve bych popsal, jak si uchovávám své citlivé soubory já.
Používám vlastní script o asi 20 řádcích, který mi automaticky zašifruje/rozšifruje celou složku pomocí openssl. Abych k tomu nemusel přistupovat přes terminál, použítám zenity. Takže to funguje takhle: mám soubor "slozka.enc" a ten můj script. Dám dvojklik na ten script, otevře se mi okénko, které se ptá na heslo. Zadám heslo a vytvoří se mi složka "slozka" a smaže se zacryptovaný soubor. Já si prohlédnu potřebné soubory, pak znovu spustím script a ten se mě zase okénkem zeptá na heslo. Zadám heslo a složka se zase zašifruje do souboru "slozka.enc" a složka "slozka" se smaže.
U tebe by mělo jít použít něco dost podobného. Navrhoval bych toto: v /usr/bin budeš mít umístěn script s názvem třeba "abcd" (nebo mu dáš nějaký maskovanější název). Tento script můžeš tedy snadno spouštět tak, že dáš Alt+F2 a napíšeš "abcd" a dáš Enter.
Tento script jednoduše udělá to, že se tě pomocí grafického okénka zeptá na heslo a pokud zadáš správné, tak prostě přesune složku /usr/share/games/abcd do umístění /home/tvyjmeno/abcd . Skript to vždycky bude střídat - jednou to přemístí tam, jednou zpátky.
Co ty na to? Jestli si s tím nevíš rady, tak ti to klidně napíšu až budu doma. Dá se to všelijak zesložiťovat - zakopeš tu složku někam hloubš, můžeš jí třeba taky ještě zakryptovat a podobně.
je to zaujímavý nápad, ale pre mňa je zbytočné cryptovanie. a je pre mňa v podstate jedno, či napíšem v terminály jeden príkaz (skript) alebo dva (nehodlám držať niekde ikonku na skript)
ak by som to riešil pomocou skriptu (a asi o tom vážne porozmýšľam) vyzeralo by to asi takto: po zadaní skriptu (a hesla) by sa mi vytvoril symbolický odkaz + potrebné oprávnenie. po opätovnom skriptu by sa oprávnenie aj symbolicky link vymazalo
výhodu vidím v tom, že by sa mi zložka vytvorila napr. na ploche a nemusel by som sa teda potom ešte preklikávať cez konqueror
ďakujem za ideu
-
Prostě jí vytvoř její uživatelský účet a ať používá ten. Můžete být přihlášení i oba současně a přepínat se (programy toho druhého zůstanou běžet).
ona má vytvorený účet a aj ho používa, ale je to žena ...
-
Jasný, kriptovat se to nemusí. Možná by se nemuselo zadávat ani heslo, protože když by jsi věděl, kde je script, stačilo by ho otevřít a mrknout se, kde je ta složka umístěná a kouknout se do ní ručně.
Taky bych se asi nezabýval oprávněními uživatele. Zakopat složku někam do filesystemu je myslím v tomto případě dostatečné. Když už jí najdeš, není stejně problém zjistit, kdo je owner a nějak to otevřít.
Takže pro tvoje potřebych bych skoro viděl jako ideální si udělat script, který ti jen vytvoří na plochu symlink a ten script umístit do některé z cest, která je v $PATH. Takže kdyby se tam chtěl dostat někdo jiný, než ty, musel by vědět, jak to děláš a musel by znát jméno toho scriptu, nebo znát cestu přímo k tomu adresáři.
Další stupeň zabezpečení je až zakryptování (to by mělo výhodu v tom, že i při znalosti polohy adresáře by se data nedala vydolovat žádným způsobem bez znalosti hesla) - ale to ty nechceš, takže doporučuji to řešení, co jsem před cvhílí uvedl. Zdá se mi dostatečně bezpečné - věci jako heslo nebo oprávnění by podle mě zvýšili bezpečnost minimálně, zato by zvýšili složitost a náchylnost k chybám. Další výhodou je, že stačí, aby script uměl vytvořit symlink a když s tím skončíš, stačí symlink prostě smáznout a je to.
-
Každopádně, ať už to uděláš jakkoliv, tak pro grafický "neterminálový" přístup doporučuji použít program "zenity". Jestli ho neznáš - je na většině systémů nainstalovaný od základu. Pro ukázku třeba zkus příkaz 'zenity --password --title="Zadejte heslo" ' . Zadaný řetězec se ti pošle do stdout. Seznam všech možných dialogů, které umí použít získáš příkazem "zenity --help".
-
hawran: "A popular response is: ``If you have nothing to hide, you have nothing to fear.`` [...] The truth is that we all do have something to hide, not because it's criminal or even shameful, but simply because it's private.'' (George Radwanski, Privacy Commissioner of Canada.)
-
hawran: "A popular response is: ``If you have nothing to hide, you have nothing to fear.`` [...] The truth is that we all do have something to hide, not because it's criminal or even shameful, but simply because it's private.'' (George Radwanski, Privacy Commissioner of Canada.)
V tom nejsme vepři, :).
Ale to nijak nevyvrací to, co jsem napsal před tím ...
-
Ještě mě napadlo "ultrajednoduché" řešení. Dát to do domovského adresáře pod jménem ".gnome_data". Je to skrytá složka, takže pokud tvá přítelkyně neprochází pravidelně i skryté složky aplikací v domovském adresáři, neměl by ses čeho bát. Neznám Konqeror, ale v Nautilu se do ní dá snadno přisoupit tak, že si buď nechám zobrazit skryté soubor pomocí Ctrl+H, nebo dám Ctrl+L, což způsobí, že můžu zadat cestu ručně - takže napíšu ".gnome_data" a otevře se mi rovnou ta složka.
Když o tom tak přemýšlím, tak se mi to zdá jeko ideální řešení pro tebe.
-
ja bych teda svoji pritelkyni heslo na svuj account nedal. kdyz je zarliva je to jeji problem, tohle bych si nezavadel.
-
Toto prosim neberte vazne, ale jako vtip. Na tomhle principu je postaveno statni utahovani sroubu svobody.
To je ale blábol.
BTW, nepotřebuji (a ani nestojím) o vykladače toho, co jsem kdy řekl, nebo napsal.
Ja myslim, ze to neni blabol. Je jasny, ze tobe, jako autorovi toho vyroku o nepotrebe ochrany soukromi to jako blablo prijde.
Blábol to je.
A přechází to v ubohou a hloupou demagogii.
Nikde jsem nic nepsal o "nepotřebě ochrany soukromí".
Zřejmě jsi další z těch, kteří vědí nejlépe, co si myslí ti druzí a rádi za ně mluví. A vědí naprosto jasně, co ti druzí potřebují a co pro ně bude nejlepší.
Takových soudruhů já už zažil ...
Ja bych byl pro, tuhle diskuzi ukoncit. At si nekazime kredit.
-
taky me napadlo jak pise Teatime .tajny_adresar :)
-
taky me napadlo jak pise Teatime .tajny_adresar :)
.moje_strasne_tajne_fotky
-
Jo, nejni nad to, kdyz na masine ma kazdy sveho usera a heslo a nelezou si do zeli. A jeste lepsi, kdyz roota mam ja a muzou jen tam, kam je pustim.
A přitom stačí tak málo: chovat se tak, abych se za to nemusel nikdy stydět a nemusel se bát, že se to někomu nemusí líbit ...
Přítel všech, přítel nikoho.
-
Nevím, proč se bráníte šifrování. Nainstalujte si Truecrypt, ten má grafický nástroj umožňující si udělat seznam oblíbených (favorites) položek k připojení. Na dvě kliknutí a zadání hesla tak můžete připojit adresář kamkoliv. Bez připojení tam nic není, takže nebudou ani otázky, proč tam je zakázaný přístup.
-
Ahoj, můžeš se s námi podělit o informaci, jak jsi to nakonec vyřešil?
Děkuji
-
Máš vytvořeného uživatele, třeba /var/lib/cronsetup - výborně.
Vytvoř si ikonku (na ploše nebo v Hlavní_menu->Nastavení->Cronsetup) tak, aby spouštěla Konqueror po uživatelem cronsetup a přímo otevírala složku /var/lib/cronsetup/images .
Postup:
1) pro jistotu zkopírovat ikonku pro spouštění Konqueroru (nebo kterékoliv jiné aplikace) do složky test a pracovat tady :-)
2) right-click -> vlastnosti -> Aplikace -> Pokročilé možnosti
[X] Spustit pod jiným uživatelem
Uživatelské jméno: cronsetup
Výsledek:
klikneš na ikonku Cronsetup. Otevře se okno s dotazem: Požadovaná činnost vyžaduje dodatečná práva. Vložte heslo...
Zadáš heslo, pustí se Konq...
Detaily si dolaď sám a určitě napiš, jak to dopadlo -:)