История изменений
Исправление dexpl, (текущая версия) :
система(must die) абсолютно беззащитна для exe вирусов
Я бы мог возразить, но не буду (Льюис Кэрролл, «Охота на Снарка»). Хотя ниже фактически возражаю.
Однако скрипт запустить несложно(и не обязательно шелл, можно и «программу на перле»).
Опять же проблема курицы и яйца.
Само отсутствие -x права — зияющая пропасть в безопасности: администратор маздая при всём желании не сможет запретить запуск файлов
Групповой политикой (домашних версий винды это не касается) можно запретить запуск исполнимых файлов из всех каталогов, кроме тех, из которых будет сказано. В сочетании с ACL и отсутствием у юзеров адм. прав эффект примерно такой же, как от -x или опции монтирования noexec.
(разве что заставит своих юзеров юзать ACL, что нереально).
На то и админ, чтобы юзерам самим рулить ACL'ами было не нужно и не можно. Мы же не про домашние компы говорим?
Т.е. что-бы юзер не скачал и не открыл, оно в любом случае не запустится. В любом *nix'е.
Небесспорно — скажем, юзер скачал с FTP-сервера файл с +x в свой ~, смонтированный без noexec (и прочих AppArmor'ов, SELinux'ов, etc). +x никуда не делся, файл можно будет запустить.
маздайщики говорят, что «в виндовс уже давно нет вирусов».
Мы же приличные люди, способные отличить от прочей мебели программы, размножающиеся путем дописывания своего кода к исполнимым модулям? Так вот таких в дикой природе уже несколько лет нету. Другое дело, что в обиходе «вирусом» называется любая малварь (а она таки есть).
ну например пользователь может скачать из сети файл ~/.bashrc или например ~/.vimrc.
Пользователь сам много чего может — одному моему товарищу один из его юзеров приволок на диагносику свой домашний системник, по которому били топором в ходе семейного скандала (казалось бы, комп-то чем виноват?). Но к защищенности ОС это вообще говоря отношения не имеет.
Исходная версия dexpl, :
система(must die) абсолютно беззащитна для exe вирусов
Я бы мог возразить, но не буду (Льюис Кэрролл, «Охота на Снарка»). Хотя ниже фактически возражаю.
Однако скрипт запустить несложно(и не обязательно шелл, можно и «программу на перле»).
Опять же проблема курицы и яйца.
Само отсутствие -x права — зияющая пропасть в безопасности: администратор маздая при всём желании не сможет запретить запуск файлов
Групповой политикой (домашних версий винды это не касается) можно запретить запуск исполнимых файлов из всех каталогов, кроме тех, из которых будет сказано. В сочетании с ACL и отсутствием у юзеров адм. прав эффект примерно такой же, как от -x или опции монтирования noexec.
(разве что заставит своих юзеров юзать ACL, что нереально).
На то и админ, чтобы юзерам самим рулить ACL'ами было не нужно (да и нельзя). Мы же не про домашние компы говорим?
Т.е. что-бы юзер не скачал и не открыл, оно в любом случае не запустится. В любом *nix'е.
Небесспорно — скажем, юзер скачал с FTP-сервера файл с +x в свой ~, смонтированный без noexec (и прочих AppArmor'ов, SELinux'ов, etc). +x никуда не делся, файл можно будет запустить.
маздайщики говорят, что «в виндовс уже давно нет вирусов».
Мы же приличные люди, способные отличить от прочей мебели программы, размножающиеся путем дописывания своего кода к исполнимым модулям? Так вот таких в дикой природе уже несколько лет нету. Другое дело, что в обиходе «вирусом» называется любая малварь (а она таки есть).
ну например пользователь может скачать из сети файл ~/.bashrc или например ~/.vimrc.
Пользователь сам много чего может — одному моему товарищу один из его юзеров приволок на диагносику свой домашний системник, по которому били топором в ходе семейного скандала (казалось бы, комп-то чем виноват?). Но к защищенности ОС это вообще говоря отношения не имеет.