有什么方法可以阻止用户创建可执行文件并运行它们？

勒索软件攻击可以使用零时差攻击，但攻击者通常会通过下载和单击来欺骗易受骗用户运行可执行文件。

假设我们有一个朴素的用户，并希望将他们限制在正常路径上。有什么方法可以限制他们创建具有可执行特权的文件？

或者，更一般而言，是否有任何方法可以构建访问控制列表并定义该用户只能执行此列表中的文件？

您已经表示关注的具体攻击是：

通常，攻击者只是通过下载和单击来欺骗易受攻击的用户来运行可执行文件。

至少在通过Web浏览器下载文件的常见情况下，应该在Ubuntu中通过浏览器遵守“需要执行权限位”策略来阻止这种情况。该政策最直接相关的部分是：

• 包括台式机和外壳程序在内的应用程序必须同时运行以下文件中的可执行代码：

  • 缺少可执行位
  • 位于用户的主目录或临时目录中。

• 从网络浏览器，邮件客户端等下载的文件绝不能另存为可执行文件。

因此，如果告知用户在Web浏览器中下载程序，然后下载该程序，然后尝试通过双击该文件来运行该文件，则该文件将不会运行。即使下载的文件是Shell脚本甚至是.desktop文件，这也适用。（如果您曾经想过，即使主目录中的.desktop文件不是真正的程序，为什么也必须将其标记为可执行文件，这就是原因。）

用户可以通过配置更改来更改此行为。大多数人不会这样做，而那些这样做的人可能不应该这样做，但这并不是您真正要担心的。更大的问题是我认为您已经担心的更复杂的攻击，其中恶意程序（或漫游器）指示用户下载特定文件，将其标记为可执行文件（通过其文件浏览器或通过chmod），然后然后运行它。

不幸的是，限制用户设置文件上的执行位或执行某些白名单上的文件以外的文件的能力不会明显缓解该问题。某些攻击将已经起作用，而那些不能被轻易修改以使它们起作用。基本问题是即使文件没有可执行权限也可以实现运行文件的效果。

最好通过示例说明。假设evil是当前目录中的文件，如果给予该文件可执行的权限（chmod +x evil）和运行（./evil），则该文件可能会产生恶意。根据是哪种程序，可以通过以下方法之一实现相同的效果：

• . ./evil或在当前运行的shell中source ./evil运行命令。evil
• bash ./evil跑evil进去bash。
• python3 evil跑evil进去python3。
• perl evil跑evil进去perl。
• ...并且通常在解释器中interpreter evil运行。evil interpreter
• 在大多数系统上，/lib64/ld-linux-x86-64.so.2 ./evil 运行二进制可执行文件 evil。

所有这些（甚至不是最后一个）都不需要文件具有可执行权限，甚至不需要用户能够授予文件可执行权限。

但是恶意指令甚至不必那么复杂。考虑一下此非恶意命令，这是安装或更新NVM的官方推荐方法之一：

wget -qO- https://raw.githubusercontent.com/nvm-sh/nvm/v0.34.0/install.sh | bash

不是恶意软件的原因是NVM不是恶意软件，但是如果URL代替的是某个人的脚本的URL，该脚本在运行时会带来恶意，则该命令将下载并运行该脚本。任何文件都绝对不需要授予可执行权限。我相信，仅用一个命令就可以下载并运行恶意文件中包含的代码，这是攻击者诱骗用户采取的非常常见的措施。

您可能会考虑尝试限制哪些解释器可供用户运行。但是，实际上没有一种方法可以对您可能希望用户能够执行的普通任务没有实质性影响。如果您正在设置一个极其受限的环境，几乎不允许用户考虑在计算机上执行的所有操作（例如仅运行几个程序的信息亭），则这可能提供了一些有意义的保护措施。但这听起来好像不是您的用例。

因此，对您的问题的大致答案是“否”。完整的答案是，您可能设法阻止用户执行除白名单上提供的文件以外的任何文件。但这是严格的技术意义上的“执行”，而要获得运行大多数程序或脚本的全部效果并不需要。为防止这种情况，您可以尝试将白名单设置得很小，因此除了可能会受到严格限制的口译员之外，它没有列出其他口译员。但是，即使您设法做到这一点，用户也无法做很多事情，而如果您将它做得很小，他们也不会伤害自己，那么他们可能什么也做不了。（请参阅Thomas Ward的评论。）

如果您的用户可以伤害自己，则可以欺骗他们伤害自己。

您可能能够以可能有害的方式限制特定程序的使用或行为，并且，如果您查看勒索软件倾向于遵循的特定模式，则可以防止某些特定的常见情况。（请参阅AppArmor。）这可能会提供一些价值。但这并不能给您任何接近您希望的全面解决方案的东西。

无论您最终采取什么技术措施（如果有），最好的办法就是教育用户。这包括告诉他们不要运行他们不了解的命令，以及在无法解释为什么这样做合理安全的情况下不要使用下载的文件。但这还包括进行备份之类的事情，因此，如果确实发生了错误（由于恶意软件或其他原因），则造成的危害将尽可能小。

是^*

这称为受限外壳。

您可以使用/bin/rbashUbuntu中已提供的，并将其与受限制的PATH变量结合使用。该rbash会由什么，是不是在禁止执行$PATH。

添加受限用户：

sudo adduser --shell /bin/rbash res-user

新建一个目录，我们可以在其中链接二进制文件，该用户将被限制为：

sudo mkdir /home/res-user/bin

修改.profile文件：

sudo vim /home/res-user/.profile

if [ -n "$BASH_VERSION" ]; then
    # include .bashrc if it exists
    if [ -f "$HOME/.bashrc" ]; then
        . "$HOME/.bashrc"
    fi
fi

readonly PATH=/home/res-user/bin
export PATH

使.profile，bashrc和.bash_profile不可改变的：

sudo chattr +i /home/res-user/.profile
sudo chattr +i /home/res-user/.bashrc
sudo chattr +i /home/res-user/.bash_profile

现在，我们给用户唯一可以做的事情，即打开Firefox：

sudo ln -s /usr/lib/firefox/firefox /home/res-user/bin/

现在，如果我们以登录方式登录，res-user则只能打开Firefox：

res-user@localhost:~$ /home/res-user/bin/firefox --version
Mozilla Firefox 68.0.1

我们不能轻易逃脱我们受限制的外壳：

res-user@localhost:~$ export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
-su: PATH: readonly variable

受限用户无法使文件可执行或启动它们：

res-user@localhost:~$ chmod +x script.sh 
Command 'chmod' is available in '/bin/chmod'
res-user@localhost:~$ bash script.sh 
Command 'bash' is available in '/bin/bash'
The command could not be located because '/bin' is not included in the PATH environment variable.
bash: command not found

受限用户无法从互联网执行恶意脚本，因为该用户无法执行必要的命令：

res-user@localhost:~$ wget -qO- https://raw.githubusercontent.com/nvm-sh/nvm/v0.34.0/install.sh | bash
Command 'wget' is available in '/usr/bin/wget'
The command could not be located because '/usr/bin' is not included in the PATH environment variable.
wget: command not found
Command 'bash' is available in '/bin/bash'
The command could not be located because '/bin' is not included in the PATH environment variable.
bash: command not found

^* _{有多种方法可以突破受限的外壳，但如果您的用户有能力，则它们可能不如您想像的容易受骗。}