Omezená skořápka - Restricted shell
 | tento článek je napsán jako manuál nebo průvodce. (Října 2017) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) |
The omezená skořápka je Unix shell který omezuje některé z možností dostupných pro interaktivní relaci uživatele nebo pro shell skript, běžící uvnitř. Je zamýšleno poskytnout další vrstvu zabezpečení, ale není dostatečné k tomu, aby umožnilo spuštění zcela nedůvěryhodného softwaru. V originálu je nalezen provoz v omezeném režimu Bourneova skořápka[1] a jeho pozdější protějšek Bash,[2] a v KornShell.[3] V některých případech se používá omezený shell ve spojení s a chroot vězení, v dalším pokusu o omezení přístupu k systému jako celku.
Vyvolání
Omezený režim shellu Bourne sha jeho práce POSIX se používají, když je tlumočník vyvolán jedním z následujících způsobů:
- sh -r U některých je to v rozporu s volbou „Číst“ sh varianty
- rsh toto může být v rozporu s vzdálený shell příkaz, který se také nazývá rsh na některých systémech
Omezený režim Bash se používá, když je Bash vyvolán jedním z následujících způsobů:
- rbash
- bash -r
- bash - omezeno
Podobně je omezený režim KornShellu vytvořen jeho vyvoláním takto:
- rksh
- ksh -r
Nastavení rbash
U některých systémů (např. CentOS ), vyvolání prostřednictvím rbash není ve výchozím nastavení povoleno a uživatel získá a příkaz nenalezen chyba, pokud je vyvolána přímo, nebo selhání přihlášení, pokud / etc / passwd soubor označuje / bin / rbash jako shell uživatele.
Postačí vytvořit odkaz s názvem rbash směřující přímo na bash. Ačkoli to vyvolává Bash přímo, bez -r nebo --omezený možnosti, Bash uznává, že byl vyvolán prostřednictvím rbash a to přijde jako omezený shell.
Toho lze dosáhnout pomocí následujících jednoduchých příkazů (provedených jako root, přihlášených jako root uživatele nebo pomocí sudo ):
root @ hostitel: ~ # CD /zásobníkroot @ hostitel: / bin # V bash rbashOmezený provoz
V omezeném prostředí nejsou povoleny následující operace:
- změna adresáře
- určení absolutních cest nebo názvů obsahujících lomítko
- nastavení proměnné PATH nebo SHELL
- přesměrování výstupu
Bash přidává další omezení, včetně:[2]
- omezení definic funkcí
- omezení použití lomených názvů souborů ve vestavěných Bash
Omezení v omezeném prostředí KornShell jsou téměř stejná jako v omezeném prostředí Bourne.[4]
Slabé stránky omezené skořápky
Omezený shell není zabezpečený. Uživatel se může vymanit z omezeného prostředí spuštěním programu, který obsahuje funkci prostředí. Následuje příklad funkce shellu v vi používá se k úniku z omezeného prostředí:
uživatel @ hostitel: ~ $ vi:soubor skořápka=/zásobník/sh:skořápkaNebo pouhým spuštěním nové neomezené skořápky, pokud je v CESTA, jak je ukázáno zde:
uživatel @ hostitel: ~ $ rbashuživatel @ hostitel: ~ $ CD /rbash: cd: omezenouživatel @ hostitel: ~ $ bashuživatel @ hostitel: ~ $ CD /uživatel @ hostitel: / $Seznam programů
Kromě omezených režimů obvyklých skořápek zahrnují specializované programy omezeného prostředí:
rssh- používá se s OpenSSH, povolující pouze určité programy pro kopírování souborů, a to scp, sftp, rsync, životopisy, a rdistsmrsh, což omezuje příkazyposlat mailmůže vyvolat[5]
Viz také
Reference
- ^ Specifikace POSIX sh
- ^ A b GNU Bash manuál
- ^ ksh manuální, Manuální stránka Solaris (SunOS 5.10), Oracle Inc.
- ^ manuální stránka ksh (1), Sada dokumentace k systému IBM AIX
- ^ Costales, Bryan; Assmann, Claus; Jansen, George; Shapiro, Gregory Neil (2007). Poslat mail. Série Oreilly (4. vyd.). O'Reilly Media, Inc. str. 379. ISBN 9780596510299. Citováno 2012-08-02.
Jako pomoc při prevenci [...] útoků, V8.1 poslat mail nejprve nabídl smrsh (skonecmnemocný rodcizený shell).