使用“/bin/busybox”作为静态用户模式帮助程序二进制文件的路径是否安全?

使用“/bin/busybox”作为静态用户模式帮助程序二进制文件的路径是否安全?

我有一个问题:

我可以用作/bin/busybox静态用户模式帮助程序二进制文件的路径,还是存在安全风险?

默认为/sbin/usermode-helper(CONFIG_STATIC_USERMODEHELPER_PATH:静态用户模式帮助程序二进制文件的路径)。

答案1

安全并没有真正涉及其中。它只是简单地不能完全工作。

用户模式帮助程序的第一个参数是要运行的外部可执行程序映像文件的绝对路径。第一个参数busybox是要运行的内置 busybox 命令的名称(从中删除目录前缀)。

只有两个用户模式帮助程序预期运行的程序(mdevmodprobe)甚至作为 BusyBox 中的内置命令存在。其他人则不然。

讽刺的是,ToyBox 的情况正好相反,它有rebootpoweroff内置命令,但没有其他命令。

答案2

不,busybox是 Unix/Linux 系统中的一个(非常)可选的附加组件,它使用的版本很可能是本地构建的(因此驻留在/usr/local),甚至是由运行它的用户构建的(可能是在$HOME/bin,或者帐户下的其他地方) )。最安全的选择是类似的 shebang #!/usr/bin/env busybox,其中包含如果失败则直接运行脚本busybox funky-script(或根据当地习惯进行编辑)的说明./funky-script

相关内容