限制

Question

限制

我解释“限制用户使用不允许 shell 转义的程序集通常是行不通的”，这意味着对于表面上似乎执行单一安全任务的程序来说，这是很常见的，但是实际上允许用户运行任何其他程序，在一般情况下，人们应该假设，授予用户对单个命令的访问权限实际上将允许他们运行他们想要的任何命令。

典型的例子可能是文本编辑器：除了允许用户从编辑器中打开任何文件（而不仅仅是命令行上给出的文件）之外，流行的编辑器还允许用户启动完整的 shell。

sudoedit 机制提供了一个只能编辑特定文件的编辑器（通过为用户提供要编辑的文件的副本，让他们自己编辑它，只有在更新特权文件之后）。如果要使用 RESTRICT 让用户在特定文件上运行（例如 emacs），那么该用户在以特权用户身份运行的 emacs 编辑器中实际上可以编辑该用户可访问的任何文件，并启动 shell作为该用户。

诺执行

当程序以这种方式启动时，其正常的动态库将被替换以禁止生成新的 shell。less如果这less是一个动态可执行文件，那么尝试从内部启动 shell 命令应该会失败。在想要允许编辑特定文件的情况下，用户使用 sudoedit 可能更安全、更好（因为这样他们就可以访问自己编辑器的自定义设置）。

至于检查 NOEXEC 是否可以在您的系统上运行，我假设它可以在文档中列出的任何操作系统上运行，前提是目标程序确实是动态链接的。但正如文档所建议的那样，最好手动检查。

Answer 1

限制

我解释“限制用户使用不允许 shell 转义的程序集通常是行不通的”，这意味着对于表面上似乎执行单一安全任务的程序来说，这是很常见的，但是实际上允许用户运行任何其他程序，在一般情况下，人们应该假设，授予用户对单个命令的访问权限实际上将允许他们运行他们想要的任何命令。

典型的例子可能是文本编辑器：除了允许用户从编辑器中打开任何文件（而不仅仅是命令行上给出的文件）之外，流行的编辑器还允许用户启动完整的 shell。

sudoedit 机制提供了一个只能编辑特定文件的编辑器（通过为用户提供要编辑的文件的副本，让他们自己编辑它，只有在更新特权文件之后）。如果要使用 RESTRICT 让用户在特定文件上运行（例如 emacs），那么该用户在以特权用户身份运行的 emacs 编辑器中实际上可以编辑该用户可访问的任何文件，并启动 shell作为该用户。

诺执行

当程序以这种方式启动时，其正常的动态库将被替换以禁止生成新的 shell。less如果这less是一个动态可执行文件，那么尝试从内部启动 shell 命令应该会失败。在想要允许编辑特定文件的情况下，用户使用 sudoedit 可能更安全、更好（因为这样他们就可以访问自己编辑器的自定义设置）。

至于检查 NOEXEC 是否可以在您的系统上运行，我假设它可以在文档中列出的任何操作系统上运行，前提是目标程序确实是动态链接的。但正如文档所建议的那样，最好手动检查。

限制

答案1

限制

诺执行

相关内容