OpenForum RSS: sh выполнятьскрипт да , читать (cat) нет https://www.opennet.me/openforum/vsluhforumID9/6801.html подскажите плиз : есть скрипт - sh надо сделать так что бы его другие пользователи погли выполнять , но смотреть его содержимое не могли в том числе и cat <br>можно или нет такое сделать ?<br> sh выполнятьскрипт да , читать (cat) нет (vic) https://www.opennet.me/openforum/vsluhforumID9/6801.html#15 Mon, 08 Oct 2007 08:47:20 GMT &gt;&gt;Вот нельзя так запросто советовать делать небезопасные вещи :) Установка suid бита <br>&gt;&gt;на исполняемый файл требует зачастую пересмотра всего кода программы для того <br>&gt;&gt;чтобы убедится что она не превратится в средство взлома системы. Не <br>&gt;&gt;все программисты пишут программы с учетом безопасности для системы, увы. <br>&gt;<br>&gt;установка suid бита не означает пользователя root. Создаем пользователя, который может выполнить <br>&gt;скрипт, ставим этого пользователя бинарю, добавляем suid. Даже если в две-три <br>&gt;строчки бинаря закрадется ошибка, то это даст возможность просмотреть код скрипта, <br>&gt;но никак не взломать систему <br><br>вот и зря так думаете, получить доступ к другому пользователю это уже частично взлом системы, и взломщик запросто пойдет дальше - попытается получить права рута используя полученный аккаунт.<br><br><br> sh выполнятьскрипт да , читать (cat) нет (angra) https://www.opennet.me/openforum/vsluhforumID9/6801.html#14 Fri, 05 Oct 2007 23:07:31 GMT &gt;Вот нельзя так запросто советовать делать небезопасные вещи :) Установка suid бита <br>&gt;на исполняемый файл требует зачастую пересмотра всего кода программы для того <br>&gt;чтобы убедится что она не превратится в средство взлома системы. Не <br>&gt;все программисты пишут программы с учетом безопасности для системы, увы. <br><br>установка suid бита не означает пользователя root. Создаем пользователя, который может выполнить скрипт, ставим этого пользователя бинарю, добавляем suid. Даже если в две-три строчки бинаря закрадется ошибка, то это даст возможность просмотреть код скрипта, но никак не взломать систему<br><br><br> sh выполнятьскрипт да , читать (cat) нет (vic) https://www.opennet.me/openforum/vsluhforumID9/6801.html#13 Wed, 03 Oct 2007 15:46:35 GMT &gt;&gt;&gt;[оверквотинг удален]<br>&gt;&gt;а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat &gt; crack.log' :)<br>&gt;<br>&gt;ну если этот товарищ имеет возможность переписать /bin/bash, то наверное у него <br>&gt;уже есть права рута и ваш мегаскрипт он в любом случае <br>&gt;прочитает <br><br>сапсем не обязательно, команду chroot никто пока не отменял, так что /bin/bash таки превратиться в 'cat &gt; crack.log'. В общем я к тому что защита чего-либо требует многих знаний :)<br><br>&gt;<br>&gt;Кстати засовывать код скрипта внутрь кода на C не обязательно, так как <br>&gt;будет требовать перекомпиляции при изменении скрипта. Код на C(или на любом <br>&gt;другом языке способном создавать бинари, включая перл) может просто запускать на <br>&gt;выполнение нужные скрипты. Используйте suid бит на бинаре. Если стоит suid-perl, <br>&gt;то можно и без бинаря обойтись <br><br>Вот нельзя так запросто советовать делать небезопасные вещи :) Установка suid бита на исполняемый файл требует зачастую пересмотра всего кода программы для того чтобы убедится что она не пр sh выполнятьскрипт да , читать (cat) нет (angra) https://www.opennet.me/openforum/vsluhforumID9/6801.html#12 Wed, 03 Oct 2007 13:56:48 GMT &gt;&gt;[оверквотинг удален]<br>&gt;а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat &gt; crack.log' :)<br><br>ну если этот товарищ имеет возможность переписать /bin/bash, то наверное у него уже есть права рута и ваш мегаскрипт он в любом случае прочитает<br><br><br>Кстати засовывать код скрипта внутрь кода на C не обязательно, так как будет требовать перекомпиляции при изменении скрипта. Код на C(или на любом другом языке способном создавать бинари, включая перл) может просто запускать на выполнение нужные скрипты. Используйте suid бит на бинаре. Если стоит suid-perl, то можно и без бинаря обойтись<br> sh выполнятьскрипт да , читать (cat) нет (vic) https://www.opennet.me/openforum/vsluhforumID9/6801.html#11 Wed, 03 Oct 2007 11:40:02 GMT &gt;&gt;а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat &gt; crack.log' :)<br>&gt;<br>&gt;А мы финт ушами:) - засунем в программу сам sh в зашифрованном <br>&gt;виде:) <br><br>Давайте уж сразу kernel в зашифрованном виде куда-нибудь запихнем :))<br><br> sh выполнятьскрипт да , читать (cat) нет (vic) https://www.opennet.me/openforum/vsluhforumID9/6801.html#10 Wed, 03 Oct 2007 11:30:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;содержимое не могли в том числе и cat <br>&gt;&gt;&gt;&gt;можно или нет такое сделать ? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Попробуйте chmod 0111 script.sh <br>&gt;&gt;<br>&gt;&gt;0111 не помогло <br>&gt;&gt;надо точить наверное sudo <br>&gt;<br>&gt;а у вас что все пользователи руты что они могут читать файл <br>&gt;с параметрами 0111??? <br><br>Имеется ввиду невозможность выполнить скрипт с правами 0111, т.к. чтобы выполнить надо его прочитать, а чтение запрещено :)<br> sh выполнятьскрипт да , читать (cat) нет (Ray Dudu) https://www.opennet.me/openforum/vsluhforumID9/6801.html#9 Wed, 03 Oct 2007 09:59:07 GMT &gt;&gt;&gt;подскажите плиз : есть скрипт - sh надо сделать так что <br>&gt;&gt;&gt;бы его другие пользователи погли выполнять , но смотреть его <br>&gt;&gt;&gt;содержимое не могли в том числе и cat <br>&gt;&gt;&gt;можно или нет такое сделать ? <br>&gt;&gt;<br>&gt;&gt;Попробуйте chmod 0111 script.sh <br>&gt;<br>&gt;0111 не помогло <br>&gt;надо точить наверное sudo <br><br>а у вас что все пользователи руты что они могут читать файл с параметрами 0111???<br> sh выполнятьскрипт да , читать (cat) нет (Forth) https://www.opennet.me/openforum/vsluhforumID9/6801.html#8 Wed, 03 Oct 2007 06:11:44 GMT &gt;а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat &gt; crack.log' :)<br><br>А мы финт ушами:) - засунем в программу сам sh в зашифрованном виде:)<br><br> sh выполнятьскрипт да , читать (cat) нет (vic) https://www.opennet.me/openforum/vsluhforumID9/6801.html#7 Tue, 02 Oct 2007 14:21:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;можно или нет такое сделать ? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Попробуйте chmod 0111 script.sh <br>&gt;&gt;<br>&gt;&gt;0111 не помогло <br>&gt;&gt;надо точить наверное sudo <br>&gt;<br>&gt;А еще можно написать на C небольшую программку, содержащую ваш скрипт внутри <br>&gt;в зашифрованном виде и вызывающую sh с пиханием ему текста скрипта:) <br>&gt;<br><br>а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat &gt; crack.log' :)<br>