4.5. Привилегированные программы
4.5. Привилегированные программы
В гл. 3 я уже намекал про существование еще двух битов доступа — SUID и SGID, и теперь пора с ними познакомиться поближе. Допустим, что пользователя необходимо ограничить в правах, чтобы он не натворил бед, но при этом дать возможность запускать программу, к которой требуется специальный доступ. В этом случае можно установить SUID-бит, тогда и программа сможет работать (от имени владельца), и у пользователя не будет лишних привилегий.
SUID-бит можно установить командой chmod с параметром u+s:
chmod u+s progname
Если теперь просмотреть права доступа к файлу, то они превратятся в -rwsr-xr-x. Как видите, появилась буква "s" на том месте, где должно быть разрешение на запуск (символ "x") для владельца файла.
Бит SGID похож на SUID, но он позволяет запускать программу с правами группы владельца файла. Этот бит устанавливается подобным образом командой chmod с параметром g+s:
chmod g+s progname
В этом случае права доступа к файлу будут -rwxr-sr-x. Вместо символа "x" (право на запуск для группы владельца файла) появилась буква "s".
Привилегии SUID и GUID достаточно удобны и полезны, но, с другой стороны, они таят в себе очень много проблем. Например, гость, обладающий минимальными правами, запускает программу с установленным битом SUID, владельцем которой является пользователь root. Это значит, что программа будет работать с правами root, а не гостевыми параметрами пользователя. Если в ней окажется ошибка, через которую можно выполнять команды на сервере, то эти директивы будут реализовываться от имени владельца программы, т.е. root. Таким образом, даже если взломщик сам не имеет возможности претворять в жизнь команды, то через привилегированную программу сможет получить доступ к запрещенной области.
Биты SUID и GUID нужно использовать аккуратно, и в любом случае владельцем программ не должен быть root или другой привилегированный пользователь. Лучше, если это будет специально заведенная для этой программы учетная запись, которая обладает только теми правами, которые необходимы пользователю.
Рассмотрим еще один пример. Допустим, гость не должен иметь прямого доступа к каталогу /home/someone, а для работы программы он необходим. Чтобы не открывать ему лишних возможностей, нужно завести отдельного пользователя с правами доступа на каталог /home/someone, сделать его владельцем программы и установить бит SUID. Если в программе будет найдена ошибка, то взломщик получит доступ к /home/someone, но все остальные разделы диска останутся недоступными.
Такая политика соответствует нашему основному правилу "Что не разрешено, то запрещено" и обеспечит максимальную безопасность сервера.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Программы
Программы Следующая категория Панели управления – Программы. Окно Программы содержит несколько групп (рис. 7.12). Рис. 7.12. Окно ПрограммыГруппа Программы и компоненты позволяет удалить или изменить состав установленных на компьютере программ. Некоторые программы
Привилегированные команды и специальные права
Привилегированные команды и специальные права Каждый профиль пользователя содержит информацию о привилегированных командах и специальных правах пользователя. Некоторые привилегированные команды MI могут выполняться только теми пользователями, профили которых
(8.7) Под W2k не хотят работать некоторые программы, требующие интенсивного обращения к CD приводу, такие как Audiograbber, CDEx, программы для записи CD-RW, некоторые DVD декодеры, и т. д..
(8.7) Под W2k не хотят работать некоторые программы, требующие интенсивного обращения к CD приводу, такие как Audiograbber, CDEx, программы для записи CD-RW, некоторые DVD декодеры, и т. д.. Многие программы, требующие непрерывного потока данных идущих на или с CD/DVD привод, нуждаются в
7.4. Под XP не хотят работать некоторые программы, требующие интенсивного обращения к CD приводу, такие как Audiograbber, CDEx, программы для записи CD-RW, некоторые DVD декодеры, и т. д..
7.4. Под XP не хотят работать некоторые программы, требующие интенсивного обращения к CD приводу, такие как Audiograbber, CDEx, программы для записи CD-RW, некоторые DVD декодеры, и т. д.. Многие программы, требующие непрерывного потока данных идущих на или с CD/DVD привод, нуждаются в
Программы
Программы Комплексные решенияLinkbot Developer Edition 6.0 Linkbot Developer Edition – это программа, предназначенная для всестороннего тестирования Web-сайтов. Автоматически сканируя веб-сайт, она способна проверить в его структуре до 100 000 ссылок и выявить более пятидесяти недочетов,
Программы
Программы Всевозможных приложений для Facebook написано в разы больше, чем для ВКонтакте (не говоря уже о вездесущих играх). Но все же в основном они выглядят несколько солиднее своих контактовских коллег – во всяком случае, с Лентой обходятся аккуратно и не слишком гадят на
Программы
Программы Если вы хотите скрыть приложения из выпадающего меню кнопки Пуск из папки "C:Documents and SettingsAll UsersГлавное менюПрограммы", то откройте раздел HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplоrerи создайте параметр типа DWORD °NoCommonGroups° со значением
Все программы
Все программы Удаление команды Все программыЕсли вы хотите удалить команду Все программы кнопки Пуск (в стиле XP), то откройте раздел HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplоrerи создайте параметр типа DWORD °NoStartMenuMorePrograms° со значением, равным 1. Восстановление системыЧтобы удалить
Код программы
Код программы Теперь можно приступить к написанию кода. При запуске программы выполняется обработчик события Form_Load. При загрузке основной формы MainForm работает код, приведенный в листинге 7.9.Листинг 7.9ListViewHelper.SetGradient(listView);string bs = Path.DirectorySeparatorChar.ToString();// Устанавливаем
Все программы
Все программы Управление отображением команды Все программы (стиль Windows Vista) также осуществляется в системном реестре в разделе HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer. Для этого следует создать REG_DWORD-параметр NoStartMenuMorePrograms и присвоить ему значение 1. Ниже приведен текст
3.2.4. Удаление программы из меню Все программы
3.2.4. Удаление программы из меню Все программы Иногда нужно удалить ярлык программы из меню Все программы. Заметьте, удаление ярлыка не приводит к удалению программы, программа все еще останется на жестком диске и ее можно запустить, если вы знаете, как называется ее
5.2. Стандартные служебные программы: Пуск | Все программы | Стандартные | Служебные
5.2. Стандартные служебные программы: Пуск | Все программы | Стандартные | Служебные В программной группе Стандартные | Служебные находятся следующие программы:? Internet Explorer (без надстроек) — запускает IE без надстроек, что поможет в случае, если какая-то из надстроек
Программы
Программы На вкладке Программы (рис. 7.44) есть возможность настроить программы по умолчанию, которые будут обрабатывать действия, связанные с запуском или просмотром содержимого из Интернета. В частности, можно указать программы, с помощью которых будет происходить
Программы
Программы Важнейший программный пакет, которым должен быть оснащен ПК студента или школьника, – антивирус (не помешает и брандмауэр). Помимо ПО безопасности, офисного пакета, браузера, почтового клиента, программы обмена мгновенными сообщениями можно подыскать и
Программы
Программы http://www.freeware.ru – Сервер Freeware.ru.http://www.freesoft.ru – Сервер free-SOFT-SERVER-FreeWare &