Оригинал статьи ©
Вынесу в свой блог на случай, если тот сайт вдруг пропадет. Потому что за последние несколько дней я пыталась сама нагуглить такой способ и спрашивала знакомых админов.
Один из способов запретить пользователю запускать определенные команды - это убрать бит исполнения для всех, кроме владельца root.
Например, что бы запретить пользователям выполнять команду curl:
chmod o-x $(which curl)
параметр o - all others означает «все, кроме владельца».
$ cp /usr/bin/curl .
ОтветитьУдалить$ chmod +x ./curl
$ ./curl -I ya.ru
HTTP/1.1 302 Found
Date: Wed, 18 Jul 2018 16:03:04 GMT
Cache-Control: no-cache,no-store,max-age=0,must-revalidate
Location: https://ya.ru/
Expires: Wed, 18 Jul 2018 16:03:04 GMT
Last-Modified: Wed, 18 Jul 2018 16:03:04 GMT
P3P: policyref="/w3c/p3p.xml", CP="NON DSP ADM DEV PSD IVDo OUR IND STP PHY PRE NAV UNI"
Set-Cookie: yandexuid=6313425851531929784; Expires=Sat, 15-Jul-2028 16:03:04 GMT; Domain=.ya.ru; Path=/
X-Content-Type-Options: nosniff
Content-Length: 0
$ chmod -x ./curl
$ ./curl -I ya.ru
bash: ./curl: Отказано в доступе
$ /lib64/ld-linux-x86-64.so.2 ./curl -I ya.ru
HTTP/1.1 302 Found
Date: Wed, 18 Jul 2018 16:03:34 GMT
Cache-Control: no-cache,no-store,max-age=0,must-revalidate
Location: https://ya.ru/
Expires: Wed, 18 Jul 2018 16:03:34 GMT
Last-Modified: Wed, 18 Jul 2018 16:03:34 GMT
P3P: policyref="/w3c/p3p.xml", CP="NON DSP ADM DEV PSD IVDo OUR IND STP PHY PRE NAV UNI"
Set-Cookie: yandexuid=2527280581531929813; Expires=Sat, 15-Jul-2028 16:03:34 GMT; Domain=.ya.ru; Path=/
X-Content-Type-Options: nosniff
Content-Length: 0
$ ls -1al . |grep curl
-rw-r--r-- 1 va va 182312 июл 18 19:02 curl
$ pwd
/tmp
https://superuser.com/a/341471
=)