GNU less là một máy nhắn tin ưa thích. Đặt env var ÍT AN TOÀN = 1 để tắt một số tính năng như chạy ! lệnh trình bao. Nhìn thấy người đàn ông ít hơn, phần bảo mật.
Việc hạn chế thực thi các chương trình dựa trên quy tắc và chặn những thứ khác được gọi là danh sách cho phép. Một tập hợp con của ngăn chặn thực hiện giảm nhẹ.
Một ứng dụng có thể bị giới hạn trong một chroot hoặc vùng chứa chỉ với bộ phần mềm tối thiểu được xác định. Tuy nhiên, điều này có thể không phù hợp với ví dụ của bạn về chương trình phân tích nhật ký khi nó không phải là điều duy nhất xảy ra trên máy chủ.
Việc triển khai tự do chặn ứng dụng sẽ là fapolicyd. Red Hat đã lấy nó làm ví dụ. Trong trường hợp này, bạn có thể có:
cho phép perm=execute uid=logviewer : path=/usr/bin/less
cho phép perm=execute uid=logviewer : path=/usr/bin/tail
cho phép perm=execute uid=logviewer : path=/usr/bin/cat
cho phép perm=execute uid=logviewer : path=/sbin/nologin
deny_audit perm=execute uid=logviewer : tất cả
Hoặc, selinux tồn tại như một phương pháp khác để kiểm soát truy cập, cho phép chính sách tùy chỉnh.
Mặc dù chính sách thực thi nghiêm ngặt đối với người dùng này chỉ có thể quan trọng đối với bạn nếu điều hợp lý là họ có thể chạy các lệnh khác. Với mức độ bảo mật kém hơn, không có thông tin đăng nhập cho tài khoản dịch vụ và các lệnh được phép trong chính sách người dùng chuyển đổi (sudo, polkit, doas), việc chạy các lệnh tùy ý không còn là chuyện nhỏ.
Có nhiều cách để tránh cần trình xem nhật ký trên máy chủ. Xem xét ghi nhật ký tập trung, với một số ứng dụng để phân tích cú pháp và hiển thị các sự kiện nhật ký.
