fakeroot-ng - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

fakeroot-ng - chạy một lệnh trong khi làm cho nó tin rằng nó đang chạy dưới quyền root

SYNOPSIS

giả mạo-ng [ -ltệp nhật ký [-NS] ] [ -pPers_file ] [-NS] lệnh hàng

MÔ TẢ

Trang hướng dẫn sử dụng này ghi lại giả mạo-ng chỉ huy.

Fakeroot-ng cho phép chạy một quy trình mà không có bất kỳ thay đổi nào đối với quyền, nhưng đánh lừa
quá trình nghĩ rằng nó đang chạy với quyền root. Điều này thường
liên quan đến việc chặn các lệnh gọi hệ thống nhất định mà quá trình thực hiện và thao tác
kết quả. Để hiệu ứng đủ hoàn chỉnh, các thao tác trước đó phải
được ghi nhớ và trả về kết quả nhất quán.

Ý tưởng đằng sau fakroot-ng lần đầu tiên được thực hiện bởi một công cụ có tên là người giả mạo(1). Công cụ này
đã sử dụng LD_PRELOAD của liên kết động tới glibc để chặn các lệnh gọi hệ thống.
Mặc dù cách tiếp cận này rất hiệu quả và rất độc lập với nền tảng, nhưng nó có phạm vi ảnh hưởng.
Đặc biệt, một số hoạt động nhất định (chủ yếu là mở(2) cuộc gọi hệ thống) không được
bị chặn, gây ra mô phỏng các hoạt động khác (chủ yếu là chroot(2) cuộc gọi hệ thống) tới
không được hỗ trợ.

Fakeroot-ng cố gắng lấp đầy những khoảng trống đó bằng cách sử dụng một công nghệ hoàn toàn khác cho hệ thống
chặn cuộc gọi. Thay vì sử dụng LD_PRELOAD, ptrace(2) đang được sử dụng.

THÔNG SỐ

-ptập tin trạng thái
Trước khi quá trình đầu tiên được chạy, tải từ tập tin trạng thái thông tin cần thiết
để duy trì quan điểm nhất quán về quyền và chủ sở hữu tệp trên
fakeroot-ng chạy. Hình ảnh này cũng tự động được lưu khi quá trình cuối cùng
tồn tại. Nếu nhiều hơn thì một phiên bản của fakeroot-ng được tải đồng thời, cả hai
với cùng tập tin trạng thái, sau đó hai phiên bản sẽ chia sẻ trạng thái và
các quy trình sẽ nhìn thấy cùng một bức tranh trong thời gian chạy.

-llog_file
Khiến fakeroot-ng kết xuất log_file trạng thái bên trong và xử lý thông tin.
Điều này chủ yếu hữu ích cho các trường hợp fakeroot-ng không hoạt động như mong đợi.

-f Làm cho tệp nhật ký bị xóa sau mỗi lần in. Đảm bảo rằng quan trọng
gợi ý về lý do tại sao sự cố đã xảy ra sẽ có trong tệp thực tế, nhưng không cẩu thả
hiệu quả hoạt động. Chỉ có hiệu lực nếu -l được quy định.

-d Nói với fakeroot-ng không được tự daemonize hóa hoàn toàn. Điều này chủ yếu hữu ích trong trường hợp
sự cố gây ra kết xuất lõi, vì trình gỡ lỗi thường thay đổi thư mục
để root, điều này sẽ ngăn không cho tạo tệp lõi.

-v In ra số phiên bản và thông tin bản quyền và thoát ra mà không cần làm gì cả.

-h In ra màn hình trợ giúp ngắn và thoát.

TÍN HIỆU

Gửi tín hiệu ALRM tới tiến trình chính fakeroot-ng làm cho nó được kết xuất vào nhật ký a
danh sách đầy đủ của tất cả các quy trình được theo dõi, cùng với trạng thái gốc và trạng thái hiện tại của chúng. Cái này
chủ yếu là một tính năng gỡ lỗi. Tín hiệu không có gì nếu -l không hoạt động. Xin lưu ý
rằng không có quy trình nào thực hiện bất kỳ lệnh gọi hệ thống nào trong khi điều này diễn ra, vì vậy tính năng này
về cơ bản là đóng băng tất cả các quy trình được gỡ lỗi trong vài giây.

MÔI TRƯỜNG BIẾN VÀ CHIA SẺ NHỚ

Một số giao tiếp giữa fakeroot-ng và chương trình bị đánh lừa được thực hiện thông qua
một cơ chế bộ nhớ được chia sẻ. Để tạo nó, fakeroot-ng tạo một tệp tạm thời và
ánh xạ nó vào bộ nhớ dưới dạng phân đoạn thực thi. Một số hệ thống có / Tmp thư mục được gắn kết
với noexec lá cờ. Trên hệ thống đó, mmap sẽ bị lỗi và fakeroot-ng sẽ không chạy.

Có hai biến môi trường cho phép fakeroot-ng tìm một thư mục trong đó
các tệp bộ nhớ dùng chung có thể được tạo. Đầu tiên là TMPDIR. Nếu nó tồn tại, fakeroot-ng sẽ
sử dụng nó để tạo các tệp tạm thời, thay vì / tmp. Vấn đề với việc sử dụng TMPDIR cho
tạo các tệp tạm thời là fakeroot-ng không phải là người duy nhất sử dụng nó. Vì điều đó
lý do, nếu môi trường có một biến được gọi là FAEKROOT_TMPDIR, giá trị của nó sẽ ghi đè
cái đó của một trong hai TMPDIR hoặc mặc định / Tmp thư mục.

Trên Linux, thường hoàn toàn an toàn khi trỏ FAKEROOT_TMPDIR đến / dev / shm, thường là
đáp ứng mong đợi về chế độ gắn kết và khả năng ghi.

AN NINH TƯ VẤN

Fakeroot-ng là một tệp thực thi không phải SUID và không sửa đổi bất kỳ dữ liệu nhạy cảm nào. Nó,
do đó, không ảnh hưởng đến bảo mật chung của hệ thống. Tuy nhiên, một người có thể bị cám dỗ,
để sử dụng fakeroot-ng như một công cụ bảo mật, để chạy các quy trình bị giảm đặc quyền hoặc
bên trong một nhà tù chroot. Ngoài tất cả các cảnh báo thường áp dụng cho việc sử dụng chroot
nhà tù như một công cụ bảo mật (nói một cách ngắn gọn - không), những điều sau đây cần được hiểu.

Không giống như các triển khai trước đây, fakeroot-ng sử dụng công nghệ để lại dấu vết
Quá trình không có sự lựa chọn nào về việc liệu nó có sử dụng "dịch vụ" của fakeroot-ng hay không. Biên dịch
một chương trình tĩnh, gọi trực tiếp hạt nhân và thao tác với các không gian địa chỉ riêng của chúng
là tất cả các kỹ thuật có thể được sử dụng thông thường để bỏ qua kiểm soát dựa trên LD_PRELOAD đối với
và không áp dụng cho fakeroot-ng. Về mặt lý thuyết, nó có thể làm khuôn
fakeroot-ng theo cách để có toàn quyền kiểm soát quá trình được truy tìm.

Trong khi về mặt lý thuyết thì điều đó có thể xảy ra, nhưng nó vẫn chưa được thực hiện. Fakeroot-ng không giả định chắc chắn
các giả định "cư xử tốt" về quy trình đang được theo dõi và quy trình phá vỡ
những giả định đó có thể có thể, nếu không hoàn toàn thoát khỏi thì ít nhất là phá vỡ một số
môi trường "giả" do fakeroot-ng áp đặt lên nó. Như vậy, bạn được cảnh báo mạnh mẽ
chống lại việc sử dụng fakeroot-ng làm công cụ bảo mật. Các báo cáo lỗi khẳng định rằng một quy trình có thể
cố ý (thay vì vô tình) thoát khỏi sự kiểm soát của fakeroot-ng hoặc sẽ bị đóng
là "không phải lỗi" hoặc được đánh dấu là mức độ ưu tiên thấp.

Có thể chính sách này sẽ được xem xét lại trong tương lai. Tuy nhiên, hiện tại,
Bạn đã được cảnh báo.

Sử dụng fakeroot-ng trực tuyến bằng các dịch vụ onworks.net