Можно ли не имея прав root что-то сломать?

Jupiter · Регистрация: 26.03.2010

Студворк — интернет-сервис помощи студентам

Собственно сабж. Поставили задачу реализовать некое подобие такого сервиса. Суть - выполнение клиентского кода на сервере. Хочу подчеркнуть что меня интересует именно: "возможно это сделать или нет".
И на последок вопрос, хоть и не в той ветке форума: если такая возможность есть, то какие способы защиты вы бы посоветовали?

Знаю что на некоторых наших сервисах онлайн олимпиад по программированию защита построена на том что клиентский код анализируется на наличие системных вызовов.

@basili4 · 21.09.2012, 17:40

Сообщение от Jupiter

Хочу подчеркнуть что меня интересует именно: "возможно это сделать или нет".

Я буею но если уже есть значит возможно. Или где?
>то какие способы защиты вы бы посоветовали?
1. Не делать этого.
2. Сильно ограничить функции языков никаких системных вызовов.

Добавлено через 55 секунд
Мне кстати больше нравится это http://ideone.com/

@taras atavin · 21.09.2012, 17:42

Сообщение от basili4

Я буею но если уже есть значит возможно. Или где?

Ну сервис то возможен, но ТСа интересует, можно ли сломать его аналог при том подходе к защите, который ТСу известен.

Jupiter · 21.09.2012, 17:43 **[ТС]**

Сообщение от basili4

Я буею но если уже есть значит возможно. Или где?

я спрашивал про возможность сломать сервер, а не про возмозможность реализовать сервис, то что это возможно и так ясно

@gGrn-7DA · 21.09.2012, 17:51

На qemu/xen минимальная система линукс
Максимально ограниченная уч запись в виртуалке
На каждую веб-сессию свой пользователь, ограничение процессорного времени и максимального времени исполнения на пользователя/процесс, если такое возможно.
Для пользователей озанизовать особый include_path, в котором из *.h будут вырезаны потенциально опасные методы (не скомпилится при их использовании).
Ну а с хоста отправляешь данные на компиляцию-получаешь вывод.

@basili4 · 21.09.2012, 17:52

сломать можно. Особенно если >защита построена на том что клиентский код анализируется на наличие системных вызовов.
На до запрещать вызовы а не искать их в коде т.к. вызовы не обязаны быть явными.

@gGrn-7DA · 21.09.2012, 17:54

запретить пользователям писать в файловую систему вообще. лучше исключить соответствующие методы из хеадеров(*.h)
или заменить на заглушки, пишущих в stdout о запрете данного действия.

ограничить доступную оперативную память (<50кб/ за глаза хватит на тесты)

Jupiter · 21.09.2012, 17:58 **[ТС]**

Сообщение от gGrn-7DA

Для пользователей озанизовать особый include_path, в котором из *.h будут вырезаны потенциально опасные методы (не скомпилится при их использовании).

да но вырезать реализации функций объявленных в хедерах из бинарников увы не получится
ничто не помешает вставить в код собственную декларацию функции

@gGrn-7DA · 22.09.2012, 17:07

Умное перекомпилирование glibc
В таком случае блокировать некоторые вызовы ядра?
selinux такое может?

@niXman · 23.09.2012, 03:07

сломать можно все. вопрос состоит лишь в том, во сколько денег ты оцениваешь потраченное на взлом время =)

Добавлено через 3 минуты

Сообщение от Jupiter

Поставили задачу

ты на админа учишься? ибо сабж - занятие для очень бородатых дядек. к программистам это слабо относится.

Jupiter · 23.09.2012, 13:51 **[ТС]**

Сообщение от niXman

ты на админа учишься?

нет) программисты мы

@niXman · 23.09.2012, 13:52

странная задача для программиста..

@taras atavin · 23.09.2012, 13:55

Сообщение от niXman

ибо сабж - занятие для очень бородатых дядек. к программистам это слабо относится.

Если програмер кривой, то админ разведёт руками, а если грамотный, то вот тогда и у админа будет работа. Причём, сложность её не будет зашкаливать, но это и не означает, что можно для серьёзного дела переучить кухарку.

@niXman · 23.09.2012, 14:03

ничего не понял %)

@taras atavin · 23.09.2012, 14:10

niXman, а ты попробуй админить однопользовательскую систему, на которой вообще не предусмотрены ни пароли, ни привилегии, ни даже логин и которая исполняет все команды с любого экземляра телнетообразной проги на любой машине, а сама эта прога опубликована на десятках зеркал. О какой безопасности сможет идти речь? А виноват будет тот, кто такую систему написал, то есть программист.
(-:

@niXman · 23.09.2012, 14:17

как это к топику относится?

Новые блоги и статьи Все статьи Все блоги /
http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Первый деплой lagorue 16.01.2026 Не спеша развернул своё 1ое приложение в kubernetes. А дальше мне интересно создать 1фронтэнд приложения и 2 бэкэнд приложения развернуть 2 деплоя в кубере получится 2 сервиса и что-бы они. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит: токи, напряжения и их 1 и 2 производные при t = 0;. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .

Jupiter Каратель 6610 / 4029 / 401 Регистрация: 26.03.2010 Сообщений: 9,273 Записей в блоге: 1

	Можно ли не имея прав root что-то сломать? 21.09.2012, 17:27. Показов 2158. Ответов 15 Метки нет (Все метки) Собственно сабж. Поставили задачу реализовать некое подобие такого сервиса. Суть - выполнение клиентского кода на сервере. Хочу подчеркнуть что меня интересует именно: "возможно это сделать или нет". И на последок вопрос, хоть и не в той ветке форума: если такая возможность есть, то какие способы защиты вы бы посоветовали? Знаю что на некоторых наших сервисах онлайн олимпиад по программированию защита построена на том что клиентский код анализируется на наличие системных вызовов. 0

@gGrn-7DA мну довольно <(-__-)l 217 / 206 / 15 Регистрация: 17.01.2010 Сообщений: 2,462
	21.09.2012, 17:51
	На qemu/xen минимальная система линукс Максимально ограниченная уч запись в виртуалке На каждую веб-сессию свой пользователь, ограничение процессорного времени и максимального времени исполнения на пользователя/процесс, если такое возможно. Для пользователей озанизовать особый include_path, в котором из *.h будут вырезаны потенциально опасные методы (не скомпилится при их использовании). Ну а с хоста отправляешь данные на компиляцию-получаешь вывод. 0

@basili4 201 / 199 / 4 Регистрация: 13.06.2012 Сообщений: 1,009 Записей в блоге: 3
	21.09.2012, 17:52
	сломать можно. Особенно если >защита построена на том что клиентский код анализируется на наличие системных вызовов. На до запрещать вызовы а не искать их в коде т.к. вызовы не обязаны быть явными. 0

@gGrn-7DA мну довольно <(-__-)l 217 / 206 / 15 Регистрация: 17.01.2010 Сообщений: 2,462
	21.09.2012, 17:54
	запретить пользователям писать в файловую систему вообще. лучше исключить соответствующие методы из хеадеров(*.h) или заменить на заглушки, пишущих в stdout о запрете данного действия. ограничить доступную оперативную память (<50кб/ за глаза хватит на тесты) 0

@gGrn-7DA мну довольно <(-__-)l 217 / 206 / 15 Регистрация: 17.01.2010 Сообщений: 2,462
	22.09.2012, 17:07
	Умное перекомпилирование glibc В таком случае блокировать некоторые вызовы ядра? selinux такое может? 0

@niXman 3211 / 1459 / 74 Регистрация: 09.08.2009 Сообщений: 3,441 Записей в блоге: 2
	23.09.2012, 13:52
	странная задача для программиста.. 0

@niXman 3211 / 1459 / 74 Регистрация: 09.08.2009 Сообщений: 3,441 Записей в блоге: 2
	23.09.2012, 14:03
	ничего не понял %) 0

@taras atavin 4226 / 1796 / 211 Регистрация: 24.11.2009 Сообщений: 27,562
	23.09.2012, 14:10
	niXman, а ты попробуй админить однопользовательскую систему, на которой вообще не предусмотрены ни пароли, ни привилегии, ни даже логин и которая исполняет все команды с любого экземляра телнетообразной проги на любой машине, а сама эта прога опубликована на десятках зеркал. О какой безопасности сможет идти речь? А виноват будет тот, кто такую систему написал, то есть программист. (-: 0

@niXman 3211 / 1459 / 74 Регистрация: 09.08.2009 Сообщений: 3,441 Записей в блоге: 2
	23.09.2012, 14:17
	как это к топику относится? 0