Stavo leggendo su chmod e le sue modalità ottali . Ho visto che 1è solo eseguire. Che cos'è un caso d'uso valido per un'autorizzazione di sola esecuzione? Per eseguire un file, si vorrebbe in genere l'autorizzazione a leggere ed eseguire.
$ echo 'echo foo' > say_foo
$ chmod 100 ./say_foo
$ ./say_foo
bash: ./say_foo: Permission denied
$ chmod 500 ./say_foo
$ ./say_foo
foo
Risposte:
Gli script Shell richiedono l'esecuzione dell'autorizzazione di lettura, ma i file binari non:
$ cat hello.cpp
#include<iostream>
int main() {
std::cout << "Hello, world!" << std::endl;
return 0;
}
$ g++ -o hello hello.cpp
$ chmod 100 hello
$ ./hello
Hello, world!
$ file hello
hello: executable, regular file, no read permission
Visualizzare i contenuti di un file ed eseguirli sono due cose diverse. Con gli script di shell, queste cose sono correlate perché vengono "eseguite" "leggendole" in una nuova shell (o quella corrente), se perdonerai la semplificazione. Questo è il motivo per cui devi essere in grado di leggerli. I binari non usano quel meccanismo.
Per le directory, l'autorizzazione di esecuzione è leggermente diversa; significa che puoi fare cose su file all'interno di quella directory (es. leggerli o eseguirli). Quindi supponiamo che tu abbia una serie di strumenti in /toolscui desideri che le persone possano usarlo, ma solo se ne sono a conoscenza. chmod 711 /tools. Quindi le cose eseguibili /toolspossono essere eseguite esplicitamente (ad es. /tools/mytool), Ma ls /tools/verranno negate. Allo stesso modo, i documenti potrebbero essere memorizzati in /private-docscui potrebbe essere letto se e solo se i nomi dei file sono noti.
cddi farlo.
stdio.hqui l' intestazione C. Suggerisco di rimuoverlo.
lse il completamento della scheda rendono fastidiosi i lavori di manutenzione e forniscono poco o nessun vantaggio per la sicurezza. La maggior parte dei file a cui un utente malintenzionato potrebbe essere interessato si trovano comunque in posizioni standard note o le loro posizioni possono essere scoperte indirettamente dai dati in altri file (altrimenti come potrebbero i programmi che utilizzano legittimamente quei file dove trovarli?).
Su Gentoo, ai programmi eseguibili setuid (impostati per essere eseguiti con le autorizzazioni del proprietario invece del loro invocatore) viene negato l'accesso in lettura (modalità 4711). Questo per aggiungere uno strato di protezione contro lo sfruttamento di bug per favorire l'escalation dei privilegi.
Se un utente malintenzionato privo di privilegi è in grado di leggere un file setuid e è a conoscenza di un bug che consente un attacco in stile restituito a libc , potrebbe essere in grado di utilizzare il contenuto del file per prevedere dove è probabile che determinate funzioni o librerie utili siano messo in memoria quando viene invocato il programma.
I sistemi moderni spesso includono protezioni aggiuntive più efficaci, come ASLR , ma le restrizioni presenti nelle piattaforme a 32 bit possono renderle più facilmente sfruttabili.
Sembra che il valore di "esegui solo" non sia molto utile per un file, ma può essere usato per impedire a uno di leggere il contenuto di una directory.
$ mkdir foo
$ touch foo/bar
$ ls foo/
bar
$ chmod 100 foo
$ ls foo/
ls: cannot open directory foo/: Permission denied
È necessario disporre delle autorizzazioni di lettura ed esecuzione per eseguire uno script. Leggere il contenuto di uno script è ciò che gli consente di eseguirlo, quindi devi essere in grado di farlo read and execute. Altrimenti, non puoi eseguire uno script senza di esso.
Che cos'è un caso d'uso valido per un'autorizzazione di sola esecuzione?
Sicurezza. Alcuni potrebbero voler proteggere i propri file e impedire ad altri di eseguirli o utilizzarli.
chmod 000Considera le autorizzazioni per nessuno tranne root. A volte non è necessario andare così in profondità solo per la protezione - dipende dalle intenzioni dell'utente. Al fine di, diciamo "re-chmod" il file torna alle autorizzazioni leggibili e scrivibili che dovresti fare attraverso root. Se non riesci ad accedere root, si rivelerà difficile.
/toolscui desideri che le persone possano usarlo, ma solo se ne sono a conoscenza. chmod 711 /tools. Poi le cose eseguibili in /tools può essere eseguito in modo esplicito, ma ls /tools/verrà negato.