当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 7 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 有什么办法可以防止可疑程序“偷鸡摸狗”?
帖子发表于 : 2009-05-08 22:11 
头像

注册: 2008-10-10 21:32
帖子: 80
送出感谢: 0 次
接收感谢: 0 次
这里似乎人气不错,和大家讨论讨论。有错误的地方请指正。 :em03

假设安装了程序A,由于它已知的功能,必须使用。同时,又不希望A在背后做些偷鸡摸狗的事情。只考虑硬盘中文件的读写保护的话,有什么方法可以让A只访问它正常运行必须访问的文件呢?(没有A的源码)

具体地举例说,如何保护Home里头用户的隐私文件不被A破坏,甚至读都不行?

假设用户guest(为了方便,其ID也用guest表示)执行了程序A,这时A的有效用户ID就是guest,那么A就能够对guest的Home里的文件自由访问了(严格的说还要参考每个文件的权限设置等)。如果此时A中有恶意代码,就可能破坏了Home里的文件,或者读取某些文件,将隐私通过网络“传”出去。有办法防止这种行为吗?
我有了一些不成熟的想法,想先看看大家的。 :em06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6楼写了我的想法,有漏洞吗?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
大家还有什么好法子,分享一下?


_________________
CPU: AMD Barton 2600+
主板: EPOX 8RDA3+
内存: Kingstone DDR400 512MB x 2
显卡: R9550(128MB)
硬盘: Seagate 250GB
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ubuntu 10.04
Opera 10


最后由 justinux 编辑于 2009-05-11 19:03,总共编辑了 2 次

页首
 用户资料  
 
2 楼 
 文章标题 : Re: 有什么办法可以防止可疑程序“偷鸡摸狗”?
帖子发表于 : 2009-05-08 23:01 
头像

注册: 2007-11-27 0:33
帖子: 80
送出感谢: 0 次
接收感谢: 0 次
你试验下chroot环境运行这个程序,有点类似于沙箱运行,不过不清楚你的实际用途,参考一下


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 有什么办法可以防止可疑程序“偷鸡摸狗”?
帖子发表于 : 2009-05-08 23:29 
头像

注册: 2007-06-13 15:57
帖子: 12565
地址: 在他乡
送出感谢: 50
接收感谢: 87
权限啊,linux下的权限限制很完善啊
建一用户,配置好权限
用这个特定的用户运行这个程序


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 有什么办法可以防止可疑程序“偷鸡摸狗”?
帖子发表于 : 2009-05-08 23:45 

注册: 2006-07-28 8:51
帖子: 407
送出感谢: 0 次
接收感谢: 0 次
文件不可写,可以用:
sudo chattr +i 文件。
置于对特定程序不可读我还真不知道。

我也来观摩一下。 :em01


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 有什么办法可以防止可疑程序“偷鸡摸狗”?
帖子发表于 : 2009-05-09 0:00 
头像

注册: 2009-02-25 18:18
帖子: 2229
送出感谢: 0 次
接收感谢: 0 次
3楼可行,但是麻烦。


ps:把机器里的鸡啊,狗啊的,都藏别的地方,比如U盘,随身携带,就不怕了么 :em04


_________________
在中国搞IT的谁不知道Ctrl+C,Ctrl+V啊~


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 有什么办法可以防止可疑程序“偷鸡摸狗”?
帖子发表于 : 2009-05-09 16:23 
头像

注册: 2008-10-10 21:32
帖子: 80
送出感谢: 0 次
接收感谢: 0 次
说说我的看法。
建立一个用户stranger,把程序A的所有者设成stranger,允许other执行,同时设置A的SUID。
这样,任何人都可以执行,而一旦执行,进程的有效用户ID就变成了stranger,这样一来,可疑的A就啥坏事也做不成了!?


_________________
CPU: AMD Barton 2600+
主板: EPOX 8RDA3+
内存: Kingstone DDR400 512MB x 2
显卡: R9550(128MB)
硬盘: Seagate 250GB
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ubuntu 10.04
Opera 10


页首
 用户资料  
 
7 楼 
 文章标题 : Re: 有什么办法可以防止可疑程序“偷鸡摸狗”?
帖子发表于 : 2009-05-09 16:56 
头像

注册: 2009-02-25 18:18
帖子: 2229
送出感谢: 0 次
接收感谢: 0 次
:em11
对,完全正确。当然,最好把这个用户的组也动下手脚。


_________________
在中国搞IT的谁不知道Ctrl+C,Ctrl+V啊~


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 7 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译