É possivel proteger uma pasta dessa forma? [RESOLVIDO]

SamL
(usa XUbuntu)

Enviado em 08/05/2023 - 15:50h

Se não pode ser por permissão, será que não existe uma forma de "assistir" uma pasta?
Tipo, eu ser notificado se um programa tentar ler ou escrever numa pasta?
E ai dar kill nesse programa caso ele não esteja numa lista, seria interessante de se fazer, mas não faço ideia se existe esse tipo de evento.


https://nerdki.blogspot.com/ acessa ai, é grátis
Não gostou? O ícone da casinha é serventia do site!

Buckminster
(usa Debian)

Enviado em 08/05/2023 - 16:03h

Bom, aí tu teria que instalar o Chrome manualmente, por exemplo, aqui eu tenho o Chrome instalado manualmente na pasta /opt/google/chrome/google-chrome e o executável em /usr/bin/google-chrome-stable daí é só setar recursivamente as pemissões de 700 para essas pastas com o usuário debina (no meu caso), pois esse usuário criado na instalação do sistema tem acesso a uma boa parte dos diretórios e arquivos, então é tranquilo, pode usar o sudo, exemplo:

$ sudo chown debina /opt/google/chrome/google-chrome

no meu caso já estava, pois instalei com esse usuário.

O problema é se tu instalou por um gerenciador como apt, zipper, yum, etc, os arquivos ficam espalhados pelo sistema. Nesse caso tu terá que procurar onde ficou a pasta básica do Chrome com os arquivos de configurações e o executável, ou desinstalar e instalar manualmente.

Criei um lançador na área de trabalho e basta clicar no ícone que uso normalmente o Chrome e somente esse usuário debina e o root tem acesso.
Não sei se me fiz claro.


________________________________________________
Always listen the Buck!

Buckminster
(usa Debian)

Enviado em 08/05/2023 - 16:09h

"Se não pode ser por permissão, será que não existe uma forma de "assistir" uma pasta?
Tipo, eu ser notificado se um programa tentar ler ou escrever numa pasta?
E ai dar kill nesse programa caso ele não esteja numa lista, seria interessante de se fazer, mas não faço ideia se existe esse tipo de evento."

Isso daí tu pode fazer pelo Selinux (ou AppArmor), dá um trabalho aprender a mexer no Selinux e é uma nhaca configurar, mas depois é tranquilo.
O AppArmor (nunca utilizei), mas pelo que vi é mais fácil de utilizar.


________________________________________________
Always listen the Buck!

SamL
(usa XUbuntu)

Enviado em 08/05/2023 - 22:00h

Esse inotifywait me serve, mas tenho a ligeira impressão de que vou criar uma gambiarra com ele rsrsrs proteger contra leitura de outros programas a pasta de configuração do Chrome. Como dira o daemon das ibagens: killall neles!


https://nerdki.blogspot.com/ acessa ai, é grátis
Não gostou? O ícone da casinha é serventia do site!

aguamole
(usa KUbuntu)

Enviado em 09/05/2023 - 09:46h

Parece que o uso que vc quer para as proteções em nível de filesystem é avançada, eu nunca configurei desta forma. Os profissionais de servidor devem saber.

SamL
(usa XUbuntu)

Enviado em 09/05/2023 - 12:21h

Procurei bastante mas não achei nada especifico nesse sentido, a não mser o inseguro SELinux da NSA (confia? eu não!)


https://nerdki.blogspot.com/ acessa ai, é grátis
Não gostou? O ícone da casinha é serventia do site!

Buckminster
(usa Debian)

Enviado em 09/05/2023 - 12:49h

"Se não pode ser por permissão, será que não existe uma forma de "assistir" uma pasta?
Tipo, eu ser notificado se um programa tentar ler ou escrever numa pasta?
E ai dar kill nesse programa caso ele não esteja numa lista, seria interessante de se fazer, mas não faço ideia se existe esse tipo de evento."

Outra sugestão, já que é para somente um caso específico (o chrome), não conseguiria monitorar com um script em shell script para quando um programa tentasse ler ou escrever e dar kill no processo?


________________________________________________
Always listen the Buck!

aguamole
(usa KUbuntu)

Enviado em 09/05/2023 - 16:38h

Segundo MSoliver tem um recurso do kernel Linux que permite fazer relatório de monitoramento no filesystem, seria criar um programa ou shellscript para fazer as requisição para monitorar as alterações.
Oliver disse que o recurso do kernel é o "inotifywait".

Buckminster
(usa Debian)

Enviado em 09/05/2023 - 16:44h

O ClamAV utiliza o Fantotify ou o Inotify (DDD), mas o Fanotify deve estar compilado e habilitado no kernel, senão terá que compilar o kernel.
O Inotify é um recurso de monitoramento, mas para o que o Sam quer terá que fazer um script mesmo assim.


https://www.vivaolinux.com.br/artigo/ClamAV-o-kit-de-ferramentas-antivirus/?pagina=3

________________________________________________
Always listen the Buck!

SamL
(usa XUbuntu)

Enviado em 09/05/2023 - 17:43h

Justo!
Ainda não cheguei testar o inotifywait mas daqui pra sábado vou fazer uns testes pra ver se consigo impedir outros processoes de acessar as configs do chrome.
Pelo que andei estudando aqui:
https://www.baeldung.com/linux/monitor-changes-directory-tree
Esse programa é mais que suficiente pro que eu quero fazer.

Então, vou deixar como resolvido e marcar melhor respostas.

Obrigado pessoal.


https://nerdki.blogspot.com/ acessa ai, é grátis
Não gostou? O ícone da casinha é serventia do site!