Webszerverre feltöltött futtatható linux bináris vagy shellscript
letöltés után már nem futtatható, tehát rwx módosul rw-re.
Erről a helyi rendszer / böngésző vagy a szerver tehet?
Szerk.: Készítettem egy alkalmazást, ami a weboldalról letöltött leírófájlban lévő alkalmazást
automatikusan letölti egy meg nem változtatható, biztonságos letöltőoldalról.
(tehát ha nincs ott olyan nevű app, akkor nem csinál semmit)
A letöltött alkalmazást lefuttatja, aztán törli.
Mindez a böngésző letöltés-kezelőjéből kattintva is működik,
tehát egy bonyolult telepítést automatizálni lehet egyszerű userek részére,
felhasználó szemszögéből látszólag pontosan úgy fog működni a dolog, mint windowson,
a biztonság mégis linuxos marad.
- 1591 megtekintés
Hozzászólások
Igen, a helyi rendszer 'tehet'.
Bővebben lásd: $home/.profile ill. /etc/profile: umask.
(Avagy shell-ben futtatva bash esetén: $home/.bashrc)
- A hozzászóláshoz be kell jelentkezni
az umask-nak semmi köze hozzá az esetek többségében, lévén a gyakorlatban sűrűbben előforduló umask_ok:
0077
0027
0022
0007
0002
- de pl. a tulajtól egyik se akarja leszedni a 0100 bitet - azaz ha igazat mondanál, legalább a tulajnál meg kéne maradjon az X bit. Sokkal inkább függ az alkalmazásoktól, amik a fájl létrehozásánál ritkán szokták megadni az O_EXEC flaget is.
- A hozzászóláshoz be kell jelentkezni
amik a fájl létrehozásánál ritkán szokták megadni az O_EXEC flaget is.
ugyerted az S_IX??? mode_t flag-ekeket is. de igen, valoban ez a helyzet. sima open()-t az 0666-os mode_t ertekkel szokas meghivni, ha van O_CREAT is (es az umask ezt redukalja 0644-re, legalabbis a rendszerek nagyreszenel alapertelmezett 0022-es ertek mellett).
a 0777-es az elegge beteg lenne. forditokon kivul barmi hasznalja ezt? ha szkriptet is irsz, azt is kezzel teszed futtathato'va. bongeszoknel meg egy iszonyat hatvanyozott biztonsagi kockazat lenne ha 0777-tel inditana egy sima "save" funkcio. gondolj bele, mennyit csamcsognanak egyesek ezen itt :] az mar majdnem olyan lenne mint a regi windozos levelezo ize ami a futtathato attachokat automatikusan elinditotta merthogy az milyen jo.
- A hozzászóláshoz be kell jelentkezni
Mivel töltötted le? Mintha olyasmit mondtak volna az eheti trainingemen, hogy az ftp leszedi a futási jogot, ezért - is - használjunk inkább scp-t.
- A hozzászóláshoz be kell jelentkezni
feltöltés ftp, ott még megvolt az rwx,
lefelé http, ezen belül böngésző, wget, és dav is játszott, eredmény azonos.
szerk.: ha ftp-vel töltöm le, akkor megmarad az x...ez szerveroldali gubanc lesz...
-
"Attempting to crack SpeedLock can damage your sanity"
- A hozzászóláshoz be kell jelentkezni
http nem támogat jogosultságokat meg ilyesmi extra információkat (csak a mime típus és a tartalom van), tehát ilyen értelemben nem fájlok továbbítására tervezték.
Megpróbálhatod ftp-re rakni a letöltendő cuccot, bár nem hinném, hogy a böngészők ilyenkor lehúzzák a jogosultságokat is. Bár lehet, sose figyeltem.
- A hozzászóláshoz be kell jelentkezni
ennyi. http-n nem jon at +x. nem veletlenul minden tutorial igy kezdodik:
wget http://akarhol.org/akarmi.sh
chmod +x akarmi.sh
./akarmi.sh
...
- A hozzászóláshoz be kell jelentkezni
Közben én is erre a következtetésre jutottam, hogy protokollfüggő.
(A probléma létét évek óta tudom, de a pontos oka számomra nem volt ismert)
Kénytelen leszek ftp szervert csinálni azért a néhány fájlért...
-
"Attempting to crack SpeedLock can damage your sanity"
- A hozzászóláshoz be kell jelentkezni
Esetleg lehetne még őket tar.gz-be tömni.
- A hozzászóláshoz be kell jelentkezni
Akkor elvész a lényeg.
Installhelper kisalkalmazás egyszerű elérése a cél,
weboldalról egyetlen klikkre az "r=1 user" hozzájut,
rákattint, és kész.
Lehet, hogy inkább YMP alapon kellene megvalósítanom...(YaST MetaPackage, OneClickInstaller)
Vagy marad az anonymous ftp szerver készítés.
-
"Attempting to crack SpeedLock can damage your sanity"
- A hozzászóláshoz be kell jelentkezni
Sztem FTP-rol leszedve is elvesz a futtatasi jog, ha buta kliens tolti le (pl. brozer).
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Már workaroundoltam a dolgot, és még -biztonsági szempontból- jobb is így.
A susie.hu oldalon az nVidia installer már így működik, és a többi is így fog.
-
"Attempting to crack SpeedLock can damage your sanity"
- A hozzászóláshoz be kell jelentkezni