The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Запрет прямого запуска биннарника"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Разное / Linux)
Изначальное сообщение [ Отслеживать ]

"Запрет прямого запуска биннарника"  +/
Сообщение от zeiter (ok) on 14-Дек-11, 13:46 
Доброго дня!

Предположим имеется

lrwxrwxrwx symlink -> /usr/bin/executable_file
-rwxr-xr-x root root /usr/bin/executable_file

Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска только по symlink?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Запрет прямого запуска биннарника"  +/
Сообщение от zd3n (ok) on 14-Дек-11, 14:06 
> Доброго дня!
> Предположим имеется
>
lrwxrwxrwx symlink -> /usr/bin/executable_file 
> -rwxr-xr-x root root /usr/bin/executable_file

> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
> только по symlink?

Можно вместо симлинка скрипт создать

#!/bin/bash
/bin/sh /usr/bin/executable_file

А права у файла /usr/bin/executable_file выставить 644

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Запрет прямого запуска биннарника"  +1 +/
Сообщение от PavelR (ok) on 14-Дек-11, 16:21 
>> Доброго дня!
>> Предположим имеется
>>
lrwxrwxrwx symlink -> /usr/bin/executable_file 
>> -rwxr-xr-x root root /usr/bin/executable_file

>> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
>> только по symlink?
> Можно вместо симлинка скрипт создать
> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644

что помешает пользователю сделать

/bin/sh /usr/bin/executable_file

ldd.so /usr/bin/executable_file (или как там оно для бинарников..)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Запрет прямого запуска биннарника"  +/
Сообщение от zeiter (ok) on 14-Дек-11, 18:43 
> что помешает пользователю сделать
> /bin/sh /usr/bin/executable_file
> ldd.so /usr/bin/executable_file (или как там оно для бинарников..)

В этом то и вопрос. Можно как-то переименовать /usr/bin/executable_file в /usr/bin/flbHhDd_secret и спрятать(?) от locate/find.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Запрет прямого запуска биннарника"  +/
Сообщение от zeiter (ok) on 14-Дек-11, 18:44 
> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644

Не работает, выдает ошибку

cannot execute binary file

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Запрет прямого запуска биннарника"  +/
Сообщение от zeiter (ok) on 14-Дек-11, 18:45 
> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644

Т.е. нужен своего рода враппер, и на исходный файл меняем права. Но враппер должен уметь запустить биннарник, на который выставлены права 644.... хм, а такое разве возможно?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Запрет прямого запуска биннарника"  +/
Сообщение от tuxic (ok) on 14-Дек-11, 18:53 
>> #!/bin/bash
>> /bin/sh /usr/bin/executable_file
>> А права у файла /usr/bin/executable_file выставить 644
> Угу, т.е. своего рода враппер, и на исходный файл меняем права. Хороший
> вариант, благодарю.

А смысл - если executable_file скрипт- то что помешает его запустить через интерпритатор ?
Просто передав (пример для bash) /bin/bash /usr/bin/executable_file , а путь до вашего это файлика легко подсмотриться внутри вашего врапера(так как он по сути скрипт) ишем пут ьк вашему враперу через whereis и просто через cat смотрим его содержимое и путь для executable_file.
Если executable_file бинарника- тоже снятие прав не панацея
/lib64/ld-linux-x86-64.so.2 /usr/bin/executable_file ( имя библиотеки может оличаться)
Другое дело если врапер будет сам бинарником- тут уже сложнее будет из него выцепить путь к исходному бинарнику.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Запрет прямого запуска биннарника"  +/
Сообщение от zeiter (ok) on 14-Дек-11, 18:59 
> Другое дело если врапер будет сам бинарником- тут уже сложнее будет из
> него выцепить путь к исходному бинарнику.

Простенький враппер на C не проблема написать... да здесь 711 не помогут.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Запрет прямого запуска биннарника"  +/
Сообщение от Etch on 14-Дек-11, 20:16 
> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
> только по symlink?

А в чём прикол?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру