Uprawnienia

[1709]

Stworzylem sobie katalog
( w katalogu domowym )

Kod: [Zaznacz]

$ ls -l
total 8
drwxr--r-- 2 root tele 4096 Mar 25 21:51 tt/

Z plikiem w srodku

Kod: [Zaznacz]

# ls -l tt
total 4
-rw-rw-r-- 1 tele tele 56 Mar 25 21:42 t

Celem testu bylo tylko odebranie praw wykonywalnosci,
- aby po kliknieciu przypadkiem plik sie nie uruchomil
- nie uruchomil sie nawet jesli dostanie prawa wykonywalnosci
( a najlepiej gdyby zaden plik w katalogu ich nie dostal )
- aby nie dalo sie uruchomic skryptu takze innym programem
- aby mozna bylo go przeczytac w edytorze tekstowym.

Problem w tym, ze z konta uzytkownika
nie moge sie dostac do katalogu i
nie moge otworzyc pliku.

Kod: [Zaznacz]

$ ls -l tt
ls: cannot access tt/t: Permission denied
total 0
-????????? ? ? ? ?            ? t

Kod: [Zaznacz]

$ ls /home/tele/Desktop/test/tt
ls: cannot access /home/tele/Desktop/test/tt/t: Permission denied
t

Czy cos zrobilem zle odbierajac prawa wykonywalnosci
dla katalogu i pliku w nim ?

Kalkulator uprawnien
https://chmod-calculator.com/

[parana]

Katalog zawsze musi mieć prawo x

[Paweł Kraszewski]

* Atrybut "wykonywalności" do katalogu to to, czy wolno ci do niego wejść. Jak nie możesz wejść, to nie wyświetlisz zawartości.

* "aby nie dalo sie uruchomic skryptu takze innym programem" i "aby mozna bylo go przeczytac w edytorze tekstowym" są sprzeczne. Wywołanie skryptu przez "bash skrypt", "python skrypt" albo "mojUlubionyInterpreter skrypt" nie robi nic poza czytaniem tego skryptu - nie jest wymagane uprawnienie do uruchomienia. Przed takim uruchomieniem nie broni nawet dodanie noexec do flag montowania katalogu domowego. Atrybut wykonywalności włącza jedynie mechanizm interpretacji pierwszej linijki skryptu (#!/....) jako interpretera do uruchomienia skryptu bez jawnego jego podawania.

test.sh   rwxr-xr-x:

Kod: [Zaznacz]

#!/bin/sh
echo "Hello world"

można uruchomić tak:

> ./test.sh   # bo jest wykonywalny oraz ma bangline na początku
> sh ./test.sh # bo da się przeczytać (nie ma innych wymagań)

[1709]

* Atrybut "wykonywalności" do katalogu to to, czy wolno ci do niego wejść.

Tu mnie zaskoczyles 

Zdaje sobie sprawe ze mozliwosc przeczytania pliku
nie zabroni programowi ktory go czyta,
skopiowania zawartosci do pamieci i jego wykonanie z uprawnieniami.

Ale zauzmy ze uffam tylko programom nano i tar,
Czy moge uruchomic np. firefoxa bez sandboxa,
zeby nie mogl czytac plikow w katalogu domowym ?
( przy zalozeniu ze pliki tymczasowe bedzie trzymal w /tmp , a nie w katalogu domowym )

Edytowane
Zauwazylem ze jesli chcemy ograniczyc prawa do jakiegos katalogu
np. /home/tele/test/
to nalezy usunac prawa wejscia ( x ) dla innych uzytkownikow

Kod: [Zaznacz]

$ ls -l test
total 4
-rw-rw-r-- 1 tele tele 5 Mar 26 13:06 t

i uruchamiac programy z innego konta uzytkownika

Kod: [Zaznacz]

$ ls -l /home/tele/test/t
-rw-rw-r-- 1 tele tele 5 Mar 26 13:06 /home/tele/test/t
$ su test -c 'ls -l /home/tele/test/t'
Password: 
ls: cannot access /home/tele/test/t: Permission denied

Jedyny problem jeszcze widze tylko w tym ze programy moga sobie
nawzajem czytac pliki tymczasowe, ale usuwac podobno juz niekoniecznie.

Sticky bit jest używany, gdy zachodzi potrzeba aby w danym współdzielonym katalogu wszyscy użytkownicy mogli tworzyć katalogi i pliki ale aby nie mogli sobie wzajemnie usuwać ich.

http://www.linuxexpert.pl/posts/2132/prawa-dostepu-do-plikow/

Edytowane
Zle przeczytalem o Sticky bit, to dotyczy uztkownikow,
 a nie programow na tym samym koncie.

[vanhelzing]

Czy moge uruchomic np. firefoxa bez sandboxa,
zeby nie mogl czytac plikow w katalogu domowym ?

Możesz stworzyć użytkownika "firefox" i uruchamiać firefoksa z jego uprawnieniami.

[1709]

Dzieki wszystkim za wyjasnienia.