next up previous
Next: Об Этом Документе Up: Защита от нежелательного Выполнения Previous: Решение с помощью модуля

Решение с помощью модуля ACL

  1. Предоставьте для группы 0 ('Everyone') права SEARCH и EXECUTE на все идентифицированные файлы и каталоги.
  2. Если вам необходимо использование READ_OPEN файлов, например для библиотек или сценариев оболочки, то добавьте права READ_OPEN и CLOSE.
  3. Для возможности дополнения оболочкой имен файлов вам необходимы права READ и, возможно, GET_STATUS_DATA или GET_PERMISSIONS_DATA.
  4. Удалите права EXECUTE из шаблона наследования для корневого каталога / или из всех вхождений в acl по умолчанию для FD.
  5. Если вы имеете индивидуальные ACL-вхождения на любых каталогах или файлах, отличных от тех, которые уже были идентифицированы, то вы должны отобрать от них права EXECUTE. Вы можете найти все ACL-вхождения при помощи acl_tlist -r.
  6. Так как права SUPERVISOR включают в себя все прочие права и (обычно) могут не маскироваться, все субъекты с SUPERVISOR на верхние уровни все-равно имеют полный доступ. При стандартной настройке только пользователь 400 (Security Officer) имеет доступ к FD для ACL по умолчанию (и следовательно ко всем файлам и каталогам).


next up previous
Next: Об Этом Документе Up: Защита от нежелательного Выполнения Previous: Решение с помощью модуля