Стартиране на приложение от името на собственика на файла на приложението
Обикновено ефективните идентификатори на процеса и група собственик получава процес наследени от процеса на родител. Но в някои случаи е необходимо да стартирате програмата с най-общо по-голям от правото да управлява своя потребител. Например, трябва да промените паролата си. Това изисква запис на файл / и т.н. / сянка. От друга страна, не е възможно да се даде на всеки потребител има право да: внезапно той ще се промени не само паролата си. Кой не би искал да направи приятна изненада на колега? Какво да се прави? Ако си мислите, че начинът да се гарантира, че всички пароли се променят само от администратора. Ако сте далеч от истината.
Идеята е, че дясната влизането в / и т.н. / сянка не може да даде конкретен потребител и PASSWD на програмата (както знаем, тя се променя паролата, програмата). За съжаление, няма механизъм в UNIX, която ви позволява да даде каквито и да било права на всеки процес или приложение. Затова правилният влизането в / и т.н. / сянка, дадено от потребителя на корен (което го прави собственик на файла и пишат разрешение на собственика на файла - помните как да направите това с помощта на CHMOD?), И ако съществува програма позволено всичко тече от името на собственика му - корен.
Това право (да стартирате програмата от името на собственика) е специален право на достъп до файла, той се нарича SUID (набор User ID). В действителност, файлът с SUID бит, е отговорен за това право на достъп. винаги се изпълни с действащият потребител на собственика на процес. равен на идентификационния номер на собственика на файла.
Тъй като ние не забравяйте, цялостния вид на думите на правата за достъп е, както следва:
На някои UNIX системи е достъпно само за една от тези две форми.
определяне на идентификатор на ефективна група (SGID) да изпълнява при стартиране на файлове Bit е валидна SUID начин, подобен на това как и кога бита SUID монтиран SGID предизвиква процеса на възлагане. изпълним код се съдържа във файла е в ход, ефективното групата ID равна на групата ID на файла.
Резултатът от ли команда файл, с битовете SUID и SGID са различни от другите в тази област, която обикновено е на стойност "х" (vypolnyaemosti малко), е герой "и":
Това означава, че и двата бита са налице: и zapuskaemosti битови и малко SUID (или SGID, съответно). Ако се опитате да зададете SUID или SGID бита на даден файл, за които на съответното право на достъп (собственик или група) няма да бъде zapuskaemosti малко, тогава системата няма да го направя. Що се отнася до директорията SUID и SGID бита имат различно значение, бита SUID / SGID бита и правото да търсите в директорията може да се определя индивидуално. В продукцията на LS в правата на достъп до търсене на директория в отсъствието на закона и наличието на бита SUID / SGID писмо S в изхода на правата за достъп ще бъдат капитализирани:
Имайте предвид, правата за достъп до директорията ENUM. Обяснение на SUID / SGID за каталога са дадени в глава 6.
Намери всички файлове, които сте задали SUID малко, можете да използвате командата
и файлове с SGID бит - екип
За да се предотврати хакерство в системата, лечение внимателно до файловете, права на достъп имат право да ги управляват от името на другите. Появата на тези файлове в системата може да улесни живота на един нападател. ако съществува програма. например, е написано по такъв начин, че той работи потребителят не може да го използвате, за да направи нещо, но промяна на собственото ви парола. Следователно, може да се има доверие, за да работи като корен. Но къде е гаранцията, че всички други програми, инсталирани със SUID едно и също? Инсталирайте SUID бит само онези програми, които имате доверие на сто процента!
Появата на нови файлове <подозрительными> правата за достъп могат да посочат опит да пробие системата, така че, когато инсталирате някаква операционна система автоматично се задава в един прост скрипт, който използва по-горе команда да търсите тези файлове да проследявате добавени в последния ден на файлове с SUID бит. Така например, в FreeBSD това е направено в сценария / и т.н. / дневно. ежедневни проверки на състоянието на системата.
Логично е да се уверите, че всички тези нови файлове се появяват на причините, известни с теб.
Преден и заден план процеси
Конфигурация на контакти се прави отбор
Ако фон процес се опитва да покаже нещо на терминала. конфигуриран да работи в tostop режим. процеса, се изпраща сигнал SIGSTOP. Process. получи такъв сигнал. спирки (преведени в щата са спирали).
За да стартирате процеса на фон от черупката трябва да се даде команда, като попълва "" (ampersend):
Свързани статии