lfaraone Asked: 2009-06-02 06:02:04 +0800 CST2009-06-02 06:02:04 +0800 CST 2009-06-02 06:02:04 +0800 CST 防止用户将文件标记为可执行文件? 772 我想确保我系统的用户无法对文件 +x 进行 chmodding,并且我不希望 /home/ 或 /var/ 中的任何内容都可以执行。 我不能把它们放在单独的分区上。 运行 Ubuntu 9.04 服务器。 ubuntu security executable 6 个回答 Voted Best Answer jj33 2009-06-02T06:17:01+08:002009-06-02T06:17:01+08:00 我本来打算为 chmod 或其他东西建议一个包装器,但我想得越多,用户最终会找到解决这个问题的方法(从另一个盒子 scp 可执行文件,或运行 perl -s "chmod('FILE'); “, ETC... 所以,我认为FS方法是最好的。既然你说你不能将它们移动到一个新的文件系统,那么在没有 exec 权限的情况下使用 --bind 挂载来“重新挂载” /home 和 /var 怎么样? mount -o noexec --bind /var /var mount -o noexec --bind /home /home 我不确定这是否可行,但似乎很有希望...... 编辑: 嗯,我喜欢这个答案中漂亮、闪亮的“好答案”徽章,但在玩过它之后,我认为它不会起作用。我最初的测试是在旧的 (2.4.9) 内核上进行的,并且“在自身之上安装”功能似乎可以工作。我用较新的内核(2.6.18)再次尝试了它,但它似乎不起作用。我开始寻找解决方法(例如将 /var 和 /home 重命名为其他名称,然后将它们重新安装。但我并没有走得太远,因为我在手册页中找到了这个用于安装在较新盒子上的内容: 请注意,文件系统挂载选项将保持与原始挂载点上的相同,并且不能通过将 -o 选项与 --bind/--rbind 一起传递来更改。 哦,好吧... --bind 仍然是一个有趣的选择... Scott Pack 2009-06-02T06:14:25+08:002009-06-02T06:14:25+08:00 我可以想到两种方法,一种是肮脏的,一种是好的。让我们从肮脏的开始。 编写一个作为 cronjob 定期运行的 shell 脚本,比如每 5 或 10 分钟一次。它会从这两个目录中的所有文件中显式删除 exec 标志,即 chmod -R ugo-x /home /var 更好的方法是在文件系统级别进行。创建新的分区来容纳 var 和 home,无论如何这被认为是最佳实践。然后添加“noexec”选项进行挂载。这将在文件系统级别阻止执行存储在这些目录中的文件。 carlito 2009-06-02T11:38:39+08:002009-06-02T11:38:39+08:00 这是一个应该这样回答的问题的完美示例: 您似乎已经为一个复杂的问题提出了解决方案,现在正在询问有关如何实施该解决方案的具体问题。您能否改为描述您要解决的原始问题? 我的经验是,系统管理员知道何时用“什么?为什么?”来响应请求是非常重要的。重要程度取决于用户描述其原始问题或尝试提出自己的解决方案并寻求实施帮助的倾向。在某些环境中,这是昂贵的灾难性糟糕解决方案与廉价的好解决方案之间的区别。 disserman 2009-06-02T07:43:30+08:002009-06-02T07:43:30+08:00 不要忘记确保 /tmp /var/tmp 和其他用户可写目录也位于带有 noexec 标志的分区上。 dmityugov 2009-06-02T07:55:01+08:002009-06-02T07:55:01+08:00 猜猜你也可以使用带有 -r、-m 和 -e 属性选项的 inotifywait 来重置 -x 标志(如果它是由用户设置的) ericslaw 2009-06-02T09:52:56+08:002009-06-02T09:52:56+08:00 听起来你有一个政策问题…… 大概这是由一个真正的问题引起的,而不是你的偏执。 你这样做不是限制了计算平台的有效性吗? 许多脚本可以通过直接调用解释器来运行: sh ./mybashscript.sh perl ./myperldaemon.pl 因此,大概您正试图阻止本机可执行文件运行? 最好通过政策和监管/审计来解决这个问题...... 充其量,你只会让经验不足的用户远离。
我本来打算为 chmod 或其他东西建议一个包装器,但我想得越多,用户最终会找到解决这个问题的方法(从另一个盒子 scp 可执行文件,或运行 perl -s "chmod('FILE'); “, ETC...
所以,我认为FS方法是最好的。既然你说你不能将它们移动到一个新的文件系统,那么在没有 exec 权限的情况下使用 --bind 挂载来“重新挂载” /home 和 /var 怎么样?
我不确定这是否可行,但似乎很有希望......
编辑:
嗯,我喜欢这个答案中漂亮、闪亮的“好答案”徽章,但在玩过它之后,我认为它不会起作用。我最初的测试是在旧的 (2.4.9) 内核上进行的,并且“在自身之上安装”功能似乎可以工作。我用较新的内核(2.6.18)再次尝试了它,但它似乎不起作用。我开始寻找解决方法(例如将 /var 和 /home 重命名为其他名称,然后将它们重新安装。但我并没有走得太远,因为我在手册页中找到了这个用于安装在较新盒子上的内容:
哦,好吧... --bind 仍然是一个有趣的选择...
我可以想到两种方法,一种是肮脏的,一种是好的。让我们从肮脏的开始。
编写一个作为 cronjob 定期运行的 shell 脚本,比如每 5 或 10 分钟一次。它会从这两个目录中的所有文件中显式删除 exec 标志,即
更好的方法是在文件系统级别进行。创建新的分区来容纳 var 和 home,无论如何这被认为是最佳实践。然后添加“noexec”选项进行挂载。这将在文件系统级别阻止执行存储在这些目录中的文件。
这是一个应该这样回答的问题的完美示例:
您似乎已经为一个复杂的问题提出了解决方案,现在正在询问有关如何实施该解决方案的具体问题。您能否改为描述您要解决的原始问题?
我的经验是,系统管理员知道何时用“什么?为什么?”来响应请求是非常重要的。重要程度取决于用户描述其原始问题或尝试提出自己的解决方案并寻求实施帮助的倾向。在某些环境中,这是昂贵的灾难性糟糕解决方案与廉价的好解决方案之间的区别。
不要忘记确保 /tmp /var/tmp 和其他用户可写目录也位于带有 noexec 标志的分区上。
猜猜你也可以使用带有 -r、-m 和 -e 属性选项的 inotifywait 来重置 -x 标志(如果它是由用户设置的)
听起来你有一个政策问题……
大概这是由一个真正的问题引起的,而不是你的偏执。
你这样做不是限制了计算平台的有效性吗?
许多脚本可以通过直接调用解释器来运行:
sh ./mybashscript.sh
perl ./myperldaemon.pl
因此,大概您正试图阻止本机可执行文件运行?
最好通过政策和监管/审计来解决这个问题......
充其量,你只会让经验不足的用户远离。