forum.opennet.ru - "Запрет прямого запуска биннарника" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Запрет прямого запуска биннарника"

Форум Открытые системы на сервере (Разное / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Запрет прямого запуска биннарника"	+/–
Сообщение от zeiter (ok) on 14-Дек-11, 13:46
Доброго дня! Предположим имеется lrwxrwxrwx symlink -> /usr/bin/executable_file -rwxr-xr-x root root /usr/bin/executable_file Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска только по symlink?
Ответить \| Правка \| Cообщить модератору

Оглавление

Запрет прямого запуска биннарника, zd3n, 14:06 , 14-Дек-11, (1)

Запрет прямого запуска биннарника, PavelR, 16:21 , 14-Дек-11, (2) +1

Запрет прямого запуска биннарника, zeiter, 18:43 , 14-Дек-11, (3)

Запрет прямого запуска биннарника, zeiter, 18:44 , 14-Дек-11, (4)
Запрет прямого запуска биннарника, zeiter, 18:45 , 14-Дек-11, (5)

Запрет прямого запуска биннарника, tuxic, 18:53 , 14-Дек-11, (6)

Запрет прямого запуска биннарника, zeiter, 18:59 , 14-Дек-11, (7)

Запрет прямого запуска биннарника, Etch, 20:16 , 14-Дек-11, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Запрет прямого запуска биннарника" +/–

Сообщение от zd3n (ok) on 14-Дек-11, 14:06

> Доброго дня!
> Предположим имеется
>
lrwxrwxrwx symlink -> /usr/bin/executable_file
> -rwxr-xr-x root root /usr/bin/executable_file

> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
> только по symlink?
Можно вместо симлинка скрипт создать
#!/bin/bash
/bin/sh /usr/bin/executable_file
А права у файла /usr/bin/executable_file выставить 644

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Запрет прямого запуска биннарника" +1 +/–

Сообщение от PavelR (ok) on 14-Дек-11, 16:21

>> Доброго дня!
>> Предположим имеется
>>
lrwxrwxrwx symlink -> /usr/bin/executable_file
>> -rwxr-xr-x root root /usr/bin/executable_file

>> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
>> только по symlink?
> Можно вместо симлинка скрипт создать
> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644
что помешает пользователю сделать
/bin/sh /usr/bin/executable_file
ldd.so /usr/bin/executable_file (или как там оно для бинарников..)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Запрет прямого запуска биннарника" +/–

Сообщение от zeiter (ok) on 14-Дек-11, 18:43

> что помешает пользователю сделать
> /bin/sh /usr/bin/executable_file
> ldd.so /usr/bin/executable_file (или как там оно для бинарников..)
В этом то и вопрос. Можно как-то переименовать /usr/bin/executable_file в /usr/bin/flbHhDd_secret и спрятать(?) от locate/find.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Запрет прямого запуска биннарника" +/–

Сообщение от zeiter (ok) on 14-Дек-11, 18:44

> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644
Не работает, выдает ошибку
cannot execute binary file

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Запрет прямого запуска биннарника" +/–

Сообщение от zeiter (ok) on 14-Дек-11, 18:45

> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644
Т.е. нужен своего рода враппер, и на исходный файл меняем права. Но враппер должен уметь запустить биннарник, на который выставлены права 644.... хм, а такое разве возможно?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Запрет прямого запуска биннарника" +/–

Сообщение от tuxic (ok) on 14-Дек-11, 18:53

>> #!/bin/bash
>> /bin/sh /usr/bin/executable_file
>> А права у файла /usr/bin/executable_file выставить 644
> Угу, т.е. своего рода враппер, и на исходный файл меняем права. Хороший
> вариант, благодарю.
А смысл - если executable_file скрипт- то что помешает его запустить через интерпритатор ?
Просто передав (пример для bash) /bin/bash /usr/bin/executable_file , а путь до вашего это файлика легко подсмотриться внутри вашего врапера(так как он по сути скрипт) ишем пут ьк вашему враперу через whereis и просто через cat смотрим его содержимое и путь для executable_file.
Если executable_file бинарника- тоже снятие прав не панацея
/lib64/ld-linux-x86-64.so.2 /usr/bin/executable_file ( имя библиотеки может оличаться)
Другое дело если врапер будет сам бинарником- тут уже сложнее будет из него выцепить путь к исходному бинарнику.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Запрет прямого запуска биннарника" +/–

Сообщение от zeiter (ok) on 14-Дек-11, 18:59

> Другое дело если врапер будет сам бинарником- тут уже сложнее будет из
> него выцепить путь к исходному бинарнику.
Простенький враппер на C не проблема написать... да здесь 711 не помогут.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Запрет прямого запуска биннарника" +/–

Сообщение от Etch on 14-Дек-11, 20:16

> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
> только по symlink?
А в чём прикол?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Запрет прямого запуска биннарника"	+/–
Сообщение от zd3n (ok) on 14-Дек-11, 14:06
> Доброго дня! > Предположим имеется > lrwxrwxrwx symlink -> /usr/bin/executable_file > -rwxr-xr-x root root /usr/bin/executable_file > Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска > только по symlink? Можно вместо симлинка скрипт создать #!/bin/bash /bin/sh /usr/bin/executable_file А права у файла /usr/bin/executable_file выставить 644
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Запрет прямого запуска биннарника"	+1 +/–
	Сообщение от PavelR (ok) on 14-Дек-11, 16:21
	>> Доброго дня! >> Предположим имеется >> lrwxrwxrwx symlink -> /usr/bin/executable_file >> -rwxr-xr-x root root /usr/bin/executable_file >> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска >> только по symlink? > Можно вместо симлинка скрипт создать > #!/bin/bash > /bin/sh /usr/bin/executable_file > А права у файла /usr/bin/executable_file выставить 644 что помешает пользователю сделать /bin/sh /usr/bin/executable_file ldd.so /usr/bin/executable_file (или как там оно для бинарников..)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Запрет прямого запуска биннарника"	+/–
	Сообщение от zeiter (ok) on 14-Дек-11, 18:43
	> что помешает пользователю сделать > /bin/sh /usr/bin/executable_file > ldd.so /usr/bin/executable_file (или как там оно для бинарников..) В этом то и вопрос. Можно как-то переименовать /usr/bin/executable_file в /usr/bin/flbHhDd_secret и спрятать(?) от locate/find.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Запрет прямого запуска биннарника"	+/–
	Сообщение от zeiter (ok) on 14-Дек-11, 18:44
	> #!/bin/bash > /bin/sh /usr/bin/executable_file > А права у файла /usr/bin/executable_file выставить 644 Не работает, выдает ошибку cannot execute binary file
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	5. "Запрет прямого запуска биннарника"	+/–
	Сообщение от zeiter (ok) on 14-Дек-11, 18:45
	> #!/bin/bash > /bin/sh /usr/bin/executable_file > А права у файла /usr/bin/executable_file выставить 644 Т.е. нужен своего рода враппер, и на исходный файл меняем права. Но враппер должен уметь запустить биннарник, на который выставлены права 644.... хм, а такое разве возможно?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	6. "Запрет прямого запуска биннарника"	+/–
	Сообщение от tuxic (ok) on 14-Дек-11, 18:53
	>> #!/bin/bash >> /bin/sh /usr/bin/executable_file >> А права у файла /usr/bin/executable_file выставить 644 > Угу, т.е. своего рода враппер, и на исходный файл меняем права. Хороший > вариант, благодарю. А смысл - если executable_file скрипт- то что помешает его запустить через интерпритатор ? Просто передав (пример для bash) /bin/bash /usr/bin/executable_file , а путь до вашего это файлика легко подсмотриться внутри вашего врапера(так как он по сути скрипт) ишем пут ьк вашему враперу через whereis и просто через cat смотрим его содержимое и путь для executable_file. Если executable_file бинарника- тоже снятие прав не панацея /lib64/ld-linux-x86-64.so.2 /usr/bin/executable_file ( имя библиотеки может оличаться) Другое дело если врапер будет сам бинарником- тут уже сложнее будет из него выцепить путь к исходному бинарнику.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Запрет прямого запуска биннарника"	+/–
	Сообщение от zeiter (ok) on 14-Дек-11, 18:59
	> Другое дело если врапер будет сам бинарником- тут уже сложнее будет из > него выцепить путь к исходному бинарнику. Простенький враппер на C не проблема написать... да здесь 711 не помогут.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

8. "Запрет прямого запуска биннарника"	+/–
Сообщение от Etch on 14-Дек-11, 20:16
> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска > только по symlink? А в чём прикол?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору