Доброго дня!

Предположим имеется

lrwxrwxrwx symlink -> /usr/bin/executable_file
-rwxr-xr-x root root /usr/bin/executable_file

Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска только по symlink?

• Запрет прямого запуска биннарника,zd3n, 14:06 , 14-Дек-11
  • Запрет прямого запуска биннарника,PavelR, 16:21 , 14-Дек-11
    • Запрет прямого запуска биннарника,zeiter, 18:43 , 14-Дек-11
  • Запрет прямого запуска биннарника,zeiter, 18:44 , 14-Дек-11
  • Запрет прямого запуска биннарника,zeiter, 18:45 , 14-Дек-11
    • Запрет прямого запуска биннарника,tuxic, 18:53 , 14-Дек-11
      • Запрет прямого запуска биннарника,zeiter, 18:59 , 14-Дек-11
• Запрет прямого запуска биннарника,Etch, 20:16 , 14-Дек-11

> Доброго дня!
> Предположим имеется
>

lrwxrwxrwx symlink -> /usr/bin/executable_file 
> -rwxr-xr-x root root /usr/bin/executable_file

> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
> только по symlink?

Можно вместо симлинка скрипт создать

#!/bin/bash
/bin/sh /usr/bin/executable_file

А права у файла /usr/bin/executable_file выставить 644

>> Доброго дня!
>> Предположим имеется
>>

lrwxrwxrwx symlink -> /usr/bin/executable_file 
>> -rwxr-xr-x root root /usr/bin/executable_file

>> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
>> только по symlink?
> Можно вместо симлинка скрипт создать
> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644

что помешает пользователю сделать

/bin/sh /usr/bin/executable_file

ldd.so /usr/bin/executable_file (или как там оно для бинарников..)

> что помешает пользователю сделать
> /bin/sh /usr/bin/executable_file
> ldd.so /usr/bin/executable_file (или как там оно для бинарников..)

В этом то и вопрос. Можно как-то переименовать /usr/bin/executable_file в /usr/bin/flbHhDd_secret и спрятать(?) от locate/find.

> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644

Не работает, выдает ошибку

cannot execute binary file

> #!/bin/bash
> /bin/sh /usr/bin/executable_file
> А права у файла /usr/bin/executable_file выставить 644

Т.е. нужен своего рода враппер, и на исходный файл меняем права. Но враппер должен уметь запустить биннарник, на который выставлены права 644.... хм, а такое разве возможно?

>> #!/bin/bash
>> /bin/sh /usr/bin/executable_file
>> А права у файла /usr/bin/executable_file выставить 644
> Угу, т.е. своего рода враппер, и на исходный файл меняем права. Хороший
> вариант, благодарю.

А смысл - если executable_file скрипт- то что помешает его запустить через интерпритатор ?
Просто передав (пример для bash) /bin/bash /usr/bin/executable_file , а путь до вашего это файлика легко подсмотриться внутри вашего врапера(так как он по сути скрипт) ишем пут ьк вашему враперу через whereis и просто через cat смотрим его содержимое и путь для executable_file.
Если executable_file бинарника- тоже снятие прав не панацея
/lib64/ld-linux-x86-64.so.2 /usr/bin/executable_file ( имя библиотеки может оличаться)
Другое дело если врапер будет сам бинарником- тут уже сложнее будет из него выцепить путь к исходному бинарнику.

> Другое дело если врапер будет сам бинарником- тут уже сложнее будет из
> него выцепить путь к исходному бинарнику.

Простенький враппер на C не проблема написать... да здесь 711 не помогут.

> Можно ли запретить прямой доступ к /usr/bin/executable_file? Оставив возможность запуска
> только по symlink?

А в чём прикол?