標準ユーザーが特定のパラメータを使用してコマンドを実行できないように制限する

Question

唯一の方法は、問題のコマンド/ユーティリティにラッパーを直接作成し、それを開始したユーザーの（E）UIDに基づいて何を許可するかを決定することです。たとえば、上記のツールはこれを実行しchshたり、passwd実装にこの機能を組み込むことができます。

ラッパーの作成方法ls

#!/usr/bin/perl

use strict;
use warnings;

my $problematic_uid = 1000; # For example
my $is_problematic = $< == $problematic_uid;
unless(/ -l / ~~ @ARGV or $is_problematic){
    exec qq{/new/path/to/ls }.join '',@ARGV
}else{
    die "Sorry, you are not allowed to use the -l option to ls\n"
}

元のパスがlsユーザーの中にないことを確認する必要がありますPATH。/new/path/to/ls問題は、このラッパーを使用するにはユーザーが元のラッパーを実行できる必要があるため、ユーザーlsが元のlsラッパーを直接呼び出してそれをバイパスできることです。

Answer 1

唯一の方法は、問題のコマンド/ユーティリティにラッパーを直接作成し、それを開始したユーザーの（E）UIDに基づいて何を許可するかを決定することです。たとえば、上記のツールはこれを実行しchshたり、passwd実装にこの機能を組み込むことができます。

ラッパーの作成方法ls

#!/usr/bin/perl

use strict;
use warnings;

my $problematic_uid = 1000; # For example
my $is_problematic = $< == $problematic_uid;
unless(/ -l / ~~ @ARGV or $is_problematic){
    exec qq{/new/path/to/ls }.join '',@ARGV
}else{
    die "Sorry, you are not allowed to use the -l option to ls\n"
}

元のパスがlsユーザーの中にないことを確認する必要がありますPATH。/new/path/to/ls問題は、このラッパーを使用するにはユーザーが元のラッパーを実行できる必要があるため、ユーザーlsが元のlsラッパーを直接呼び出してそれをバイパスできることです。

標準ユーザーが特定のパラメータを使用してコマンドを実行できないように制限する

ベストアンサー1

おすすめ記事