Команды, запрещенные в ограниченном режиме командной оболочки
-
Запуск сценария или его части в ограниченном режиме, приводит к наложению ограничений на использование некоторых команд. Эта мера предназначена для ограничения привилегий пользователя, запустившего сценарий, и минимизации возможного ущерба системе, который может нанести сценарий.
-
В ограниченном режиме запрещена команда cd -- смена текщего каталога.
-
Запрещено изменять переменные окружения $PATH, $SHELL, $BASH_ENV и $ENV.
-
Запрещен доступ к переменной $SHELLOPTS.
-
Запрещено перенаправление вывода.
-
Запрещен вызов утилит, в названии которых присутствует хотя бы один символ "слэш" (/).
-
Запрещен вызов команды exec для запуска другого процесса.
-
Запрещен ряд других команд, которые могут использовать сценарий для выполнения непредусмотренных действий.
-
Запрещен выход из ограниченного режима.
Пример 20-1. Запуск сценария в ограниченном режиме
#!/bin/bash # Если sha-bang задать в таком виде: "#!/bin/bash -r" # то это приведет к включению ограниченного режима с момента запуска скрипта. echo echo "Смена каталога." cd /usr/local echo "Текущий каталог: `pwd`" echo "Переход в домашний каталог." cd echo "Текущий каталог: `pwd`" echo # До сих пор сценарий исполнялся в обычном, неограниченном режиме. set -r # set --restricted имеет тот же эффект. echo "==> Переход в ограниченный режим. ==" echo echo echo "Попытка сменить текущий каталог в ограниченном режиме." cd .. echo "Текущий каталог остался прежним: `pwd`" echo echo echo "\$SHELL = $SHELL" echo "Попытка смены командного интерпретатора в ограниченном режиме." SHELL="/bin/ash" echo echo "\$SHELL= $SHELL" echo echo echo "Попытка перенаправления вывода в ограниченном режиме." ls -l /usr/bin > bin.files ls -l bin.files # Попробуем найти файл, который пытались создать. echo exit 0