Изолированное окружение для пользователя

Насколько я понял Capture the Flag это командная компьютерная игра ….. и здесь правила environment/окружение не совсем то, что принято понимать в классическом подходе….
Могу и ошибаться, но в таких играх каждой команде выделяется свой сервер, а вот уже игроки могут иметь свои окружения, устанавливаемые в зависимост от условий игры и поставленных заданий ….
Ошибки не исчезают с опытом - они просто умнеют
nafanja
psplinter
По умолчанию юзер имеет право на чтение почти везде и преспокойно сможет почитать общие системные конфиги в /etc

и что с этого? все важное может читать только root.

Ему права на файлах надо править и чтоб изменения не касались других.

nafanja
psplinter
скачать бинарники в /bin и т.д.

??? это где так?

Скачать (к себе на комп).бинарники находящие в /bin /usr/bin на удаленном хосте. Находящийся в wheel естественно (раз он администратор этой выделенной системы). А ТС хочет полную независимость от других пользователей, видеть и возможно править системные файлы независимые от других пользователей.
Т.е иметь свою копию ОС. Иначе я не понимаю как эти юзера будут делать изменения в системных файлах, пусть даже это только изменения прав.
Мне кажется Jail тут самое то будет,, только это не линукс конечно.
nafanja
я никогда такого не делал, но могу предположить что нужно:
после логина чрутить пользователя на какой нибудь образ с другой системой.
вроде у системд есть крутой чрут. с продвинутой изоляцией. не помню какая команда, поищи в нете.
Контейнеры рассматривал, но не нашел механизма, который будет все это дело автоматизировать, ну т.е. раскидывать пользователей по контейнерам при ссх подключении, например. А так спасибо
McG
Не это ищешь?
Нет, вопрос не в этом:)
psplinter
На фряхе подобное делаю на jail https://ru.wikipedia.org/wiki/FreeBSD_Jail
Спасибо, тоже читал, но опять же вопрос с автоматизацией
vasek
Могу и ошибаться, но в таких играх каждой команде выделяется свой сервер, а вот уже игроки могут иметь свои окружения, устанавливаемые в зависимост от условий игры и поставленных заданий ….
Вы, наверное, имеете в виду формат attack-defense. В формате CTF jeopardy всё несколько иначе
laim, посмотрите в man sshd_config, конкретно ChrootDirectory и ForceCommand. С помощью ForceCommand можно, например, docker контейнер запускать.

http://unix.stackexchange.com/questions/120986/how-to-automatically-launch-a-lxc-container-on-ssh-connection
lampslave
laim, посмотрите в man sshd_config, конкретно ChrootDirectory и ForceCommand. С помощью ForceCommand можно, например, docker контейнер запускать.
Блин, то что нужно. Попробовал с докером - все отлично работает. Спасибо
Не знаю, судя по описанию мне как и ранее др. пользователям приходит на ум только песочницы и тюрьмы. Но на линуксе после фряхи я с ними не игрался, уже больно все уныло было. Думаю вам туда копать.
Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)
 
Зарегистрироваться или войдите чтобы оставить сообщение.