Muszę wyrazić na to zgodę read/write
w tym folderze, które są podfolderem /root
katalog do mike.jackson
(z jakiegoś powodu ktoś utworzył ten folder wewnątrz / root):
/root/Products/Metadata/ApplicationServers/Port8080/Marker/
Dany ls -la
to jest pozwolenie:
total 12
drwxrwxrwx 3 webproject_deployer users 4096 Sep 1 2010 .
drwxrwxrwx 3 webproject_deployer users 4096 Aug 4 2010 ..
drwxrwxrwx 6 webproject_deployer users 4096 Mar 15 2011 xml
Więc dodam mike.jackson
do users
Grupa
users:x:100:mike.jackson
Mimo to nie może uzyskać dostępu do folderu.
To jest owner
ustawienia:
webproject_deployer:x:1071:100::/home/webproject_deployer:/bin/bash
Użytkownik jest uwierzytelniony przez LDAP
tak też jest mike.jackson
.
Co mam tutaj zrobić?
Nie chcę dodawać mike.jackson
w sudoers, bo gdybym to zrobił, nie mogę zagwarantować, że nie wykona złośliwego polecenia jako sudo
wewnątrz tego folderu.
Odpowiedzi:
Użytkownik potrzebuje
x
uprawnienie do każdego folderu w hierarchii. Zazwyczaj/root
katalog nie zezwala innym użytkownikom niżroot
aby wejść, więc zacznij tam i zejdź w dół.Sugeruję jednak, żebyś to przesunął gdzieś indziej, jeśli to możliwe. Jeśli nie jesteś ostrożny, dane należące do roota mogą zostać przypadkowo upublicznione.
źródło
musisz sprawdzić łańcuch uprawnień,
pomysł:
Czy dostęp do mikrofonu /
Czy dostęp do mikrofonu / root
Czy mike access / root / Products
...
Czy mike access / root / Products / Metadata / ApplicationServers / Port8080 / Marker / mike
odczyt nie jest konieczny, ale wykonanie w celu przejścia przez folder jest minimalne.
pomysł:
chmod 711
do każdego folderu na drzewieźródło
Przyczyną tego, że nie działa to dla ciebie, jak stwierdzono wcześniej, jest to, że użytkownik potrzebuje dostępu do pełnej ścieżki, a nie tylko do tego konkretnego katalogu. Najlepszą odpowiedzią jest usunięcie struktury katalogów z katalogu / root. Nie powinieneś robić niczego w katalogu głównym ani pozwolić, aby cokolwiek było instalowane lub uruchamiane z niego. Jedynym czasem, w którym należy zalogować się do roota, jest zadanie administracyjne systemu. Jeśli chcesz uruchomić aplikację z podwyższonymi uprawnieniami, uruchom ją jako usługę lub utwórz określonego użytkownika, ala Apache lub MySql.
Jednym z głównych problemów z tym jest przeglądanie bieżącej struktury, w której aplikacja będzie miała uprawnienia roota, więc jeśli atakujący zdoła uruchomić szkodliwy kod za pomocą exploita, może on zrobić niezliczone szkody w systemie hosta. Jeśli aplikacja była powiązana z własnym kontem, może to być zagrożenie dla samego siebie, a nie dla większego systemu.
Mając to na uwadze, jeśli jest to aplikacja internetowa, serwer powinien mieć 755 uprawnień, a użytkownicy łączący się z nią będą mieli z kolei uprawnienia serwera. Jeśli ta osoba jest użytkownikiem lokalnym, który potrzebuje uprawnień administratora serwera, dodaj swoje konto użytkownika do grupy powiązanej z tą konkretną aplikacją i odpowiednio ustaw uprawnienia grup.
źródło