亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: Linux 判定可執(zhí)行文件或者可執(zhí)行腳本 [打印本頁]

作者: 536ma 時間: 2015-08-10 15:56
標(biāo)題: Linux 判定可執(zhí)行文件或者可執(zhí)行腳本
Linux的file命令判定文件的類型，例如 file cg1
cg1: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, not stripped
就可以判定這樣文件是可執(zhí)行文件，另外 ls -l cg1
-rwxrwxr-x. 1 xi xi 5160 7月 17 16:21 cg1 像這樣的文件就可以通過文件x屬性判定是可執(zhí)行文件，我想問一下file executable 的判定與 ls -l 查看x屬性判定，哪一個更詳細(xì)更準(zhǔn)確確定文件是可執(zhí)行文件？？

作者: MMMIX 時間: 2015-08-10 16:18
回復(fù) 1# 536ma

file 是根據(jù)文件內(nèi)容判斷(猜測), ls 是根據(jù)文件屬性. 這兩個的結(jié)果哪個都不是 100% 可靠.

作者: 536ma 時間: 2015-08-10 17:01
回復(fù) 2# MMMIX

你說的很對。file是通過對文件類型的初判，然后又通過檢測 magic file 規(guī)則來判定，覺得這個比 ls -l 好一點(diǎn)。但是在判定過程中發(fā)現(xiàn)不是很可靠，想判定某個目錄中可執(zhí)行文件文件或者腳本不是100%可靠，請問您有可靠的辦法來判定可執(zhí)行文件或者腳本？

作者: MMMIX 時間: 2015-08-10 17:34
回復(fù) 3# 536ma

關(guān)鍵看你拿判定的結(jié)果干啥. 若是要執(zhí)行它, 只要判定下對應(yīng)的路徑為普通文件并且具有可執(zhí)行權(quán)限, 然后直接執(zhí)行就行了.

作者: 536ma 時間: 2015-08-10 20:53

MMMIX 發(fā)表于 2015-08-10 17:34
回復(fù) 3# 536ma

我想判定linux根目錄的所有可執(zhí)行文件，然后對可執(zhí)行文件進(jìn)行攔截控制。我應(yīng)該怎么判定和搜集可執(zhí)行程序的名單？但是像你說的普通文件，還具有可執(zhí)行權(quán)限。例如普通的腳本文件，如果我按照你說的辦法去做，就會把它漏掉。如： sh01.sh 文件屬性是 rw-rw-rw- sh sh01.sh仍然可以執(zhí)行，求大神指導(dǎo)？

作者: MMMIX 時間: 2015-08-10 21:02
回復(fù) 5# 536ma

直接用沙盒(sandbox)吧.

作者: 536ma 時間: 2015-08-11 08:49

MMMIX 發(fā)表于 2015-08-10 21:02
回復(fù) 5# 536ma

有沒有相關(guān)的關(guān)于sanbox的實(shí)現(xiàn)案例，大神求教？

作者: 536ma 時間: 2015-08-11 13:44
回復(fù) 6# MMMIX

我查了相關(guān)的資料，關(guān)于輕量級的SetUid中的Sandbox，但是對于具體的實(shí)現(xiàn)還是有點(diǎn)不明白，能否給指點(diǎn)一下？

作者: MMMIX 時間: 2015-08-11 18:06
回復(fù) 8# 536ma

你是要自己實(shí)現(xiàn)沙盒? 還是在其之上添加額外的功能?

作者: 536ma 時間: 2015-08-11 18:19
回復(fù) 9# MMMIX

恩，就是想實(shí)現(xiàn)對可疑程序的判定？本來想用白名單機(jī)制去判定，但是可執(zhí)行程序白名單的搜集數(shù)據(jù)太大，內(nèi)核空間有限難實(shí)現(xiàn)；聽你說沙盤剛好有這個功能，如果有例子參考的話更好？沒有的話給點(diǎn)思路？

作者: MMMIX 時間: 2015-08-11 18:39
本帖最后由 MMMIX 于 2015-08-11 18:40 編輯

回復(fù) 10# 536ma

沙盒是把可疑程序放在一個隔離的環(huán)境中執(zhí)行. 如果你要監(jiān)測系統(tǒng)的每一個進(jìn)程的話, 要從 syscall execve 入手, 在內(nèi)核中把它攔截掉, 這樣你就能看到每一個進(jìn)程都執(zhí)行了些什么.

另外, Linux 說不定已經(jīng)有一些安全機(jī)制可以做到這個了.

作者: 536ma 時間: 2015-08-11 18:54
回復(fù) 11# MMMIX

我想在已經(jīng)可以把sys_execve地址解析并且hook，但是現(xiàn)在就是缺少一個linux可執(zhí)行程序的白名單？我寫了shell腳本通過file去判定可執(zhí)行腳本，問題一是白名單很大，問題二還有些可執(zhí)行的文件漏了？
linux的安全機(jī)制？求推薦？

作者: MMMIX 時間: 2015-08-11 18:58
回復(fù) 12# 536ma

關(guān)鍵是你到底要干啥呀? 做一個受限系統(tǒng), 讓用戶只能執(zhí)行某些程序? 那你把這些程序弄個列表不就完了?

歡迎光臨 Chinaunix (http://www.72891.cn/)