22.2.3. Ограничение доступа к файловой системе

22.2.3. Ограничение доступа к файловой системе

Еще одним способом устранения ошибок в кодах, предоставляющих возможность для атак, является ограничение набора файлов, к которым программа имеет доступ, с помощью системного вызова chroot(). Как обсуждалось в главе 14, метод chroot(), сопровождающийся вызовом chdir(), изменяет корневой каталог процесса, ограничивая совокупность файлов, доступных процессу. Это не предотвращает возможность эксплуатации, но иногда может нарушать работу приложения. Если сетевой сервер, работающий как не root, эксплуатируется удаленно, то данному удаленному пользователю значительно труднее применить этот сервер в качестве базы локальной эксплуатации, поскольку он не сможет получить доступ ни к каким setuid-файлам (этим могут воспользоваться наиболее простые локальные эксплуатации программ).

Анонимные ftp-серверы являются наиболее распространенными программами, использующими преимущества механизма chroot(). В последнее время он становится более популярным и в других программах, многие системные администраторы применяют команду chroot для того, чтобы перевести работу системных демонов в ограниченное окружение и предусмотреть проникновение "незваных гостей".

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

10.1.2.6 Другие функции, имеющие отношение к файловой системе

Из книги Архитектура операционной системы UNIX автора Бах Морис Дж

10.1.2.6 Другие функции, имеющие отношение к файловой системе Такие функции работы с файловой системой, как stat и chmod, выполняются одинаково, как для обычных файлов, так и для устройств; они манипулируют с индексом, не обращаясь к драйверу. Даже системная функция lseek работает


Пара слов о файловой системе

Из книги Разгони свой сайт автора Мациевский Николай

Пара слов о файловой системе Вопрос: зачем нужны дополнительные тесты на производительность файловой системы, ведь уже есть характерное время, уходящее на gzip-сжатие определенных размеров файлов?Ответ: во-первых, любой веб-сервер и так берет файл из файловой системы и


11.2.2. Ограничение доступа

Из книги Linux-сервер своими руками автора Колисниченко Денис Николаевич

11.2.2. Ограничение доступа Я считаю необходимым подробно рассмотреть блочную директиву Limit. Эта директива определяет вид и параметры доступа к тому или иному каталогу. Рассмотрим листинг 11.9.Листинг 11.9. Пример использования директивы Limit<Directory incoming> <Limit


21.7.3. Ограничение доступа пользователя

Из книги Основы объектно-ориентированного программирования автора Мейер Бертран

21.7.3. Ограничение доступа пользователя Операционная система Linux обладает достаточно высокими средствами защиты информации, поэтому, используя стандартную конфигурацию (обыкновенный пользователь, а не суперпользователь), вы обеспечите высокий уровень безопасности.


Ограничение доступа клиентам

Из книги Windows Script Host для Windows 2000/XP автора Попов Андрей Владимирович

Ограничение доступа клиентам Для ограничения доступа клиентов к некоторой компоненте h, будет использована возможность включения в объявление класса двух или более разделов feature. Объявление будет выглядеть следующим образомclass S2 featuref ...g ...feature {A, B}h ......endКомпоненты f и g


Глава 5 Доступ из сценариев к файловой системе

Из книги Разработка приложений в среде Linux. Второе издание автора Джонсон Майкл К.

Глава 5 Доступ из сценариев к файловой системе Сценарии WSH позволяют получить полный доступ к файловой системе компьютера, в отличие от JScript- или VBScript-сценариев, внедренных в HTML-страницы, где в зависимости от уровня безопасности, который устанавливается в настройках


11.2.3. Открытие файлов в файловой системе

Из книги Firebird РУКОВОДСТВО РАЗРАБОТЧИКА БАЗ ДАННЫХ автора Борри Хелен

11.2.3. Открытие файлов в файловой системе Хотя Linux предусматривает множество типов файлов, обычные файлы используются наиболее часто. Программы, конфигурационные файлы, файлы данных — все они подпадают под это определение, и многие приложения не могут (явно) использовать


Ограничение подключения к операционной системе

Из книги Linux программирование в примерах автора Роббинс Арнольд

Ограничение подключения к операционной системе Требуйте пароли при всех подключениях и отменяйте кэширование подключения на серверах и рабочих станциях Windows. В сетях отменяйте возможность для пользователей и групп изменять их собственные установки регистрации.


Доступ к файловой системе

Из книги Разработка ядра Linux автора Лав Роберт

Доступ к файловой системе Как было показано в главе 2, процесс совершает операции с файлами, адресуя их при помощи файловых дескрипторов — целых чисел, имеющих локальное для процесса значение. Это значит, что файловый дескриптор одного процесса может адресовать


П2.4. Ограничение доступа

Из книги Linux Mint и его Cinnamon. Очерки применителя автора Федорчук Алексей Викторович

П2.4. Ограничение доступа П2.4.1. Запрет доступа к сайту (или к списку сайтов) Предположим, что вам нужно запретить доступ к определенному сайту (или к списку сайтов). Для этого зайдите в раздел Биллинг | Клиенты | Фильтры | До группы (рис. П2.10). Выполните команду меню Действие |


Добавление и удаление объектов на файловой системе sysfs

Из книги автора

Добавление и удаление объектов на файловой системе sysfs Инициализированные объекты kobject автоматически не экспортируются через файловую систему sysfs. Для того чтобы сделать объект видимым через sysfs, необходимо использовать функцию kobject_add().int kobject_add(struct kobject *kobj);Положение


Добавление файлов на файловой системе sysfs

Из книги автора

Добавление файлов на файловой системе sysfs Объекты kobject отображаются на каталоги, и такое отображение выполняется естественным образом. А как насчет создания файлов? Файловая система sysfs — это не что иное, как дерево каталогов без файлов.Атрибуты, используемые по


Навигация по файловой системе

Из книги автора

Навигация по файловой системе Следующее, что необходимо применителю после создания файлов — ориентация среди существующего их изобилия.Для начала при неплохо определиться со своим текущим положением в файловой системе. Этому послужит команда pwd. В ответ на нее