Выполнение сценариев Bash в режиме ограничения

Во времена Ubuntu, графических свистоперделок и повсеместного гламура все меньше пользователей интересуется командной строкой. Но для тех, кто все еще использует этот мощный и полезный инструмент будет интересно узнать, что у командного интерпретатора bash есть безопасный режим, позволяющий ограничивать потенциально опасные действия пользователя.

Если Bash запущен как rbash, либо с опцией -r или --restricted, то активируется ограниченный режим использования. При работе в этом режиме на действия пользователя накладываются следующие ограничения:

• нельзя сменить текущую директорию с помощью команды cd;
• нельзя изменить значения переменных среды SHELL, PATH, ENV или BASH_ENV;
• нельзя использовать косую черту (слэш) в названиях команд;
• нельзя использовать команду . (точка) с именами файлов, где присутствует косая черта;
• нельзя использовать косую черту с командой hash с параметром -p;
• отключен импорт функций;
• игнорируется значение переменной SHELLOPTS;
• отключено перенаправление ввода-вывода с помощью >, >|, >&, &> и >>;
• не работает команда exec;
• для команды enable отключены параметры -f и -d;
• запрещено изменять значение переменной PATH с помощью команды command;
• ограничение доступа отключить невозможно.

Сообразительные пользователи уже догадались какую пользу может принести rbash. Например, rbash можно назначить в качестве основной командной оболочки пользователям, входящим в систему через ssh, что значительно повысит безопасность. Скрипты из непроверенных источников тоже можно запускать в ограниченном режиме.

Пользователям, которые хотят еще сильнее обезопасить свою систему следует обратить внимание на такие средства, как chroot или даже SELinux и Apparmor.

Ответственных пользователей привлекает безопасность