Jak uzyskać uprawnienia dostępu do podfolderów w / root?

2

Muszę wyrazić na to zgodę read/write w tym folderze, które są podfolderem /root katalog do mike.jackson (z jakiegoś powodu ktoś utworzył ten folder wewnątrz / root):

/root/Products/Metadata/ApplicationServers/Port8080/Marker/

Dany ls -la to jest pozwolenie:

total 12
drwxrwxrwx 3 webproject_deployer users 4096 Sep  1  2010 .
drwxrwxrwx 3 webproject_deployer users 4096 Aug  4  2010 ..
drwxrwxrwx 6 webproject_deployer users 4096 Mar 15  2011 xml

Więc dodam mike.jackson do users Grupa

users:x:100:mike.jackson

Mimo to nie może uzyskać dostępu do folderu.

To jest owner ustawienia:

webproject_deployer:x:1071:100::/home/webproject_deployer:/bin/bash

Użytkownik jest uwierzytelniony przez LDAPtak też jest mike.jackson. Co mam tutaj zrobić? Nie chcę dodawać mike.jackson w sudoers, bo gdybym to zrobił, nie mogę zagwarantować, że nie wykona złośliwego polecenia jako sudo wewnątrz tego folderu.

Valter Silva
źródło
Komentarz, ponieważ nie jest to odpowiedź: naprawdę powinieneś to przenieść z tego reż. Nie tylko powoduje problemy z uprawnieniami, ale widać też problemy z tworzeniem kopii zapasowych i partycjami. Spędziłbym wysiłek, aby umieścić to we właściwej przestrzeni i nie próbować uzyskać permsów.
Rich Homolka

Odpowiedzi:

5

Użytkownik potrzebuje x uprawnienie do każdego folderu w hierarchii. Zazwyczaj /root katalog nie zezwala innym użytkownikom niż root aby wejść, więc zacznij tam i zejdź w dół.

Sugeruję jednak, żebyś to przesunął gdzieś indziej, jeśli to możliwe. Jeśli nie jesteś ostrożny, dane należące do roota mogą zostać przypadkowo upublicznione.

Daniel Beck
źródło
2

musisz sprawdzić łańcuch uprawnień,

pomysł:
Czy dostęp do mikrofonu /
Czy dostęp do mikrofonu / root
Czy mike access / root / Products
...
Czy mike access / root / Products / Metadata / ApplicationServers / Port8080 / Marker / mike

odczyt nie jest konieczny, ale wykonanie w celu przejścia przez folder jest minimalne.

pomysł: chmod 711 do każdego folderu na drzewie


źródło
0

Przyczyną tego, że nie działa to dla ciebie, jak stwierdzono wcześniej, jest to, że użytkownik potrzebuje dostępu do pełnej ścieżki, a nie tylko do tego konkretnego katalogu. Najlepszą odpowiedzią jest usunięcie struktury katalogów z katalogu / root. Nie powinieneś robić niczego w katalogu głównym ani pozwolić, aby cokolwiek było instalowane lub uruchamiane z niego. Jedynym czasem, w którym należy zalogować się do roota, jest zadanie administracyjne systemu. Jeśli chcesz uruchomić aplikację z podwyższonymi uprawnieniami, uruchom ją jako usługę lub utwórz określonego użytkownika, ala Apache lub MySql.

Jednym z głównych problemów z tym jest przeglądanie bieżącej struktury, w której aplikacja będzie miała uprawnienia roota, więc jeśli atakujący zdoła uruchomić szkodliwy kod za pomocą exploita, może on zrobić niezliczone szkody w systemie hosta. Jeśli aplikacja była powiązana z własnym kontem, może to być zagrożenie dla samego siebie, a nie dla większego systemu.

Mając to na uwadze, jeśli jest to aplikacja internetowa, serwer powinien mieć 755 uprawnień, a użytkownicy łączący się z nią będą mieli z kolei uprawnienia serwera. Jeśli ta osoba jest użytkownikiem lokalnym, który potrzebuje uprawnień administratora serwera, dodaj swoje konto użytkownika do grupy powiązanej z tą konkretną aplikacją i odpowiednio ustaw uprawnienia grup.

Matty
źródło