The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"sh выполнятьскрипт да , читать (cat) нет "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Программирование под UNIX (Public)
Изначальное сообщение [Проследить за развитием треда]

"sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от aistpsk (ok) on 02-Окт-07, 16:15 
подскажите плиз : есть скрипт - sh  надо сделать так что бы его другие пользователи погли выполнять ,  но смотреть его содержимое не могли в том числе и cat
можно или нет такое сделать ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от vic (??) on 02-Окт-07, 16:47 
>подскажите плиз : есть скрипт - sh  надо сделать так что
>бы его другие пользователи погли выполнять ,  но смотреть его
>содержимое не могли в том числе и cat
>можно или нет такое сделать ?

Это ж скрипт, не прочитав не выполнишь :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от aistpsk (ok) on 02-Окт-07, 16:57 
>>подскажите плиз : есть скрипт - sh  надо сделать так что
>>бы его другие пользователи погли выполнять ,  но смотреть его
>>содержимое не могли в том числе и cat
>>можно или нет такое сделать ?
>
>Это ж скрипт, не прочитав не выполнишь :)

ну да :( , а если  юзверь группы запускает разрешённы ему скрипт в котором запускается например через sudo  скрипт другого  пользователя - моежт как-то так ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от vic (??) on 02-Окт-07, 17:13 
>>>подскажите плиз : есть скрипт - sh  надо сделать так что
>>>бы его другие пользователи погли выполнять ,  но смотреть его
>>>содержимое не могли в том числе и cat
>>>можно или нет такое сделать ?
>>
>>Это ж скрипт, не прочитав не выполнишь :)
>
>ну да :( , а если  юзверь группы запускает разрешённы ему
>скрипт в котором запускается например через sudo  скрипт другого  
>пользователя - моежт как-то так ?

ну если только скрипту сменить владельца, поставить chmod 700, и запускать через sudo.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от newser (ok) on 02-Окт-07, 17:09 
>подскажите плиз : есть скрипт - sh  надо сделать так что
>бы его другие пользователи погли выполнять ,  но смотреть его
>содержимое не могли в том числе и cat
>можно или нет такое сделать ?

Попробуйте chmod 0111 script.sh

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от aistpsk (??) on 02-Окт-07, 17:22 
>>подскажите плиз : есть скрипт - sh  надо сделать так что
>>бы его другие пользователи погли выполнять ,  но смотреть его
>>содержимое не могли в том числе и cat
>>можно или нет такое сделать ?
>
>Попробуйте chmod 0111 script.sh

0111 не помогло
надо точить наверное sudo

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от Forth (??) on 02-Окт-07, 18:13 
>>>подскажите плиз : есть скрипт - sh  надо сделать так что
>>>бы его другие пользователи погли выполнять ,  но смотреть его
>>>содержимое не могли в том числе и cat
>>>можно или нет такое сделать ?
>>
>>Попробуйте chmod 0111 script.sh
>
>0111 не помогло
>надо точить наверное sudo

А еще можно написать на C небольшую программку, содержащую ваш скрипт внутри в зашифрованном виде и вызывающую sh с пиханием ему текста скрипта:)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от vic (??) on 02-Окт-07, 18:21 
>[оверквотинг удален]
>>>>можно или нет такое сделать ?
>>>
>>>Попробуйте chmod 0111 script.sh
>>
>>0111 не помогло
>>надо точить наверное sudo
>
>А еще можно написать на C небольшую программку, содержащую ваш скрипт внутри
>в зашифрованном виде и вызывающую sh с пиханием ему текста скрипта:)
>

а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat > crack.log'  :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от Forth (??) on 03-Окт-07, 10:11 
>а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat > crack.log'  :)

А мы финт ушами:) - засунем в программу сам sh в зашифрованном виде:)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от vic (??) on 03-Окт-07, 15:40 
>>а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat > crack.log'  :)
>
>А мы финт ушами:) - засунем в программу сам sh в зашифрованном
>виде:)

Давайте уж сразу kernel в зашифрованном виде куда-нибудь запихнем :))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от angra (ok) on 03-Окт-07, 17:56 
>>[оверквотинг удален]
>а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat > crack.log'  :)

ну если этот товарищ имеет возможность переписать /bin/bash, то наверное у него уже есть права рута и ваш мегаскрипт он в любом случае прочитает


Кстати засовывать код скрипта внутрь кода на C не обязательно, так как будет требовать перекомпиляции при изменении скрипта. Код на C(или на любом другом языке способном создавать бинари, включая перл) может просто запускать на выполнение нужные скрипты. Используйте suid бит на бинаре. Если стоит suid-perl, то можно и без бинаря обойтись

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от vic (??) on 03-Окт-07, 19:46 
>>>[оверквотинг удален]
>>а потом другой товарищ (который нам не товарищ) за 2 сек подсунет вместо sh команду 'cat > crack.log'  :)
>
>ну если этот товарищ имеет возможность переписать /bin/bash, то наверное у него
>уже есть права рута и ваш мегаскрипт он в любом случае
>прочитает

сапсем не обязательно, команду chroot никто пока не отменял, так что /bin/bash таки превратиться в 'cat > crack.log'. В общем я к тому что защита чего-либо требует многих знаний :)

>
>Кстати засовывать код скрипта внутрь кода на C не обязательно, так как
>будет требовать перекомпиляции при изменении скрипта. Код на C(или на любом
>другом языке способном создавать бинари, включая перл) может просто запускать на
>выполнение нужные скрипты. Используйте suid бит на бинаре. Если стоит suid-perl,
>то можно и без бинаря обойтись

Вот нельзя так запросто советовать делать небезопасные вещи :) Установка suid бита на исполняемый файл требует зачастую пересмотра всего кода программы для того чтобы убедится что она не превратится в средство взлома системы. Не все программисты пишут программы с учетом безопасности для системы, увы.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от angra (ok) on 06-Окт-07, 03:07 
>Вот нельзя так запросто советовать делать небезопасные вещи :) Установка suid бита
>на исполняемый файл требует зачастую пересмотра всего кода программы для того
>чтобы убедится что она не превратится в средство взлома системы. Не
>все программисты пишут программы с учетом безопасности для системы, увы.

установка suid бита не означает пользователя root. Создаем пользователя, который может выполнить скрипт, ставим этого пользователя бинарю, добавляем suid. Даже если в две-три строчки бинаря закрадется ошибка, то это даст возможность просмотреть код скрипта, но никак не взломать систему


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от vic (??) on 08-Окт-07, 12:47 
>>Вот нельзя так запросто советовать делать небезопасные вещи :) Установка suid бита
>>на исполняемый файл требует зачастую пересмотра всего кода программы для того
>>чтобы убедится что она не превратится в средство взлома системы. Не
>>все программисты пишут программы с учетом безопасности для системы, увы.
>
>установка suid бита не означает пользователя root. Создаем пользователя, который может выполнить
>скрипт, ставим этого пользователя бинарю, добавляем suid. Даже если в две-три
>строчки бинаря закрадется ошибка, то это даст возможность просмотреть код скрипта,
>но никак не взломать систему

вот и зря так думаете, получить доступ к другому пользователю это уже частично взлом системы, и взломщик запросто пойдет дальше - попытается получить права рута используя полученный аккаунт.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от Ray Dudu on 03-Окт-07, 13:59 
>>>подскажите плиз : есть скрипт - sh  надо сделать так что
>>>бы его другие пользователи погли выполнять ,  но смотреть его
>>>содержимое не могли в том числе и cat
>>>можно или нет такое сделать ?
>>
>>Попробуйте chmod 0111 script.sh
>
>0111 не помогло
>надо точить наверное sudo

а у вас что все пользователи руты что они могут читать файл с параметрами 0111???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "sh выполнятьскрипт да , читать (cat) нет "  
Сообщение от vic (??) on 03-Окт-07, 15:30 
>[оверквотинг удален]
>>>>содержимое не могли в том числе и cat
>>>>можно или нет такое сделать ?
>>>
>>>Попробуйте chmod 0111 script.sh
>>
>>0111 не помогло
>>надо точить наверное sudo
>
>а у вас что все пользователи руты что они могут читать файл
>с параметрами 0111???

Имеется ввиду невозможность выполнить скрипт с правами 0111, т.к. чтобы выполнить надо его прочитать, а чтение запрещено :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру