Kısıtlanmış kabuk - Restricted shell
 | Bu makale gibi yazılır bir kılavuz veya rehber kitap. (Ekim 2017) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin) |
kısıtlanmış kabuk bir Unix kabuğu bu, etkileşimli bir kullanıcı oturumu veya bir kabuk komut dosyası içinde koşuyor. Ek bir güvenlik katmanı sağlaması amaçlanmıştır, ancak tamamen güvenilmeyen yazılımın yürütülmesine izin vermek için yetersizdir. Orijinalde kısıtlı bir mod işlemi bulundu Bourne kabuğu[1] ve sonraki muadili Bash,[2] Ve içinde KornShell.[3] Bazı durumlarda kısıtlı bir kabuk, bir chroot bir bütün olarak sisteme erişimi sınırlamak için başka bir girişimde bulunun.
Çağrı
Bourne kabuğunun kısıtlı modu shve onun POSIX çalışma biçimleri, yorumlayıcı aşağıdaki yollardan biriyle çağrıldığında kullanılır:
- sh -r bunun bazılarında "oku" seçeneğiyle çeliştiğini unutmayın. sh varyantlar
- rsh bunun ile çelişebileceğini unutmayın uzak kabuk komut olarak da adlandırılır rsh bazı sistemlerde
Bash'in kısıtlı modu, Bash aşağıdaki yollardan biriyle çağrıldığında kullanılır:
- kızarıklık
- bash -r
- bash - kısıtlanmış
Benzer şekilde KornShell'in kısıtlı modu da şu şekilde çağrılarak üretilir:
- rksh
- ksh -r
Döküntü kurma
Bazı sistemler için (ör. CentOS ) aracılığıyla çağrı kızarıklık varsayılan olarak etkin değildir ve kullanıcı bir komut bulunamadı doğrudan çağrılırsa hata veya / etc / passwd dosya gösterir / bin / rbash kullanıcının kabuğu olarak.
Adlı bir bağlantı oluşturmak yeterlidir kızarıklık doğrudan işaret etmek bash. Bu, Bash'i doğrudan çağırmasına rağmen, -r veya --kısıtlı seçenekler, Bash bunun aracılığıyla çağrıldığını kabul ediyor kızarıklık ve sınırlı bir kabuk olarak ortaya çıkıyor.
Bu, aşağıdaki basit komutlarla gerçekleştirilebilir (root olarak çalıştırılır, kullanıcı kökü olarak oturum açar veya sudo ):
root @ host: ~ # CD /çöp Kutusuroot @ host: / bin # bash rbashSınırlı işlemler
Kısıtlanmış bir kabukta aşağıdaki işlemlere izin verilmez:
- dizini değiştirmek
- mutlak yol adları veya eğik çizgi içeren adlar belirtme
- PATH veya SHELL değişkenini ayarlama
- çıktının yeniden yönlendirilmesi
Bash, aşağıdakiler dahil başka kısıtlamalar ekler:[2]
- işlev tanımlarına ilişkin sınırlamalar
- Bash yerleşiklerinde eğik çizgi biçimli dosya adlarının kullanımıyla ilgili sınırlamalar
Kısıtlı KornShell'deki kısıtlamalar, kısıtlı Bourne kabuğundakilerle büyük ölçüde aynıdır.[4]
Kısıtlanmış bir kabuğun zayıf yönleri
Kısıtlanmış kabuk güvenli değil. Bir kullanıcı, bir kabuk işlevi içeren bir programı çalıştırarak kısıtlanmış ortamın dışına çıkabilir. Aşağıdaki, içindeki kabuk işlevinin bir örneğidir. vi kısıtlanmış kabuktan kaçmak için kullanılır:
kullanıcı @ ana bilgisayar: ~ $ vi:Ayarlamak kabuk=/çöp Kutusu/sh:kabukVeya basitçe yeni bir kısıtlanmamış kabuk başlatarak, PATH, burada gösterildiği gibi:
kullanıcı @ ana bilgisayar: ~ $ kızarıklıkkullanıcı @ ana bilgisayar: ~ $ CD /rbash: cd: kısıtlıkullanıcı @ ana bilgisayar: ~ $ bashkullanıcı @ ana bilgisayar: ~ $ CD /kullanıcı @ ana bilgisayar: / $Programların listesi
Normal mermilerin kısıtlı modlarının ötesinde, özel kısıtlı mermi programları şunları içerir:
rssh- ile kullanılan OpenSSH, yalnızca belirli dosya kopyalama programlarına izin verir, yani scp, sftp, rsync, cvs, ve rdistsmrsh, komutları sınırlayanposta göndermekçağırabilir[5]
Ayrıca bakınız
Referanslar
- ^ POSIX sh belirtimi
- ^ a b GNU Bash kılavuzu
- ^ ksh kılavuzu, Solaris (SunOS 5.10) kılavuz sayfası, Oracle Inc.
- ^ ksh (1) kılavuz sayfası, IBM AIX belge seti
- ^ Costales, Bryan; Assmann, Claus; Jansen, George; Shapiro Gregory Neil (2007). Posta göndermek. Oreilly Serisi (4 ed.). O'Reilly Media, Inc. s. 379. ISBN 9780596510299. Alındı 2012-08-02.
[...] saldırıları önlemeye yardımcı olmak için, V8.1 posta göndermek ilk teklif smrsh (ssonmrahatsız rtahminde bulunulmuş shell) programı.