Nowe posty

xx W Grubie nie pokazuje ubuntu (0)
2020-09-18, 15:49:34
question Połączenie się z OEL 8 >> MS SQL (0)
2020-09-16, 12:05:25
xx PORADNIK ! [Poszukiwanie bledow] (2)
2020-09-15, 08:24:56
xx Po instalacji minta i tak startuje windows ... (8)
2020-09-13, 00:48:13
xx DHCP i Virtualbox (2)
2020-09-08, 20:56:37
xx Brak macierzy RAID w Ubuntu (3)
2020-09-08, 19:10:24
xx Edycja plików w lokalizacji /sys/class/net/eth0/statistics (1)
2020-09-04, 08:43:34
xx ikona uruchamiająca (chyba) skrypt w ubuntu 16 (4)
2020-09-02, 22:57:36
xx Postfix (2)
2020-09-01, 18:58:16
xx Nie mogę naprawić dzwięku w Ubuntu 18.04 LTS (15)
2020-08-31, 22:48:26

Autor Wątek: Uprawnienia  (Przeczytany 1011 razy)

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2396
  • 1709
    • Zobacz profil
Uprawnienia
« dnia: 2018-03-26, 13:13:41 »
Stworzylem sobie katalog
( w katalogu domowym )
$ ls -l
total 8
drwxr--r-- 2 root tele 4096 Mar 25 21:51 tt/
Z plikiem w srodku
# ls -l tt
total 4
-rw-rw-r-- 1 tele tele 56 Mar 25 21:42 t

Celem testu bylo tylko odebranie praw wykonywalnosci,
- aby po kliknieciu przypadkiem plik sie nie uruchomil
- nie uruchomil sie nawet jesli dostanie prawa wykonywalnosci
( a najlepiej gdyby zaden plik w katalogu ich nie dostal )
- aby nie dalo sie uruchomic skryptu takze innym programem
- aby mozna bylo go przeczytac w edytorze tekstowym.

Problem w tym, ze z konta uzytkownika
nie moge sie dostac do katalogu i
nie moge otworzyc pliku.

$ ls -l tt
ls: cannot access tt/t: Permission denied
total 0
-????????? ? ? ? ?            ? t
$ ls /home/tele/Desktop/test/tt
ls: cannot access /home/tele/Desktop/test/tt/t: Permission denied
t



Czy cos zrobilem zle odbierajac prawa wykonywalnosci
dla katalogu i pliku w nim ?

Kalkulator uprawnien
https://chmod-calculator.com/
« Ostatnia zmiana: 2018-03-26, 13:23:04 wysłana przez 1709 »
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.

parana

  • Gość
Odp: Uprawnienia
« Odpowiedź #1 dnia: 2018-03-26, 14:01:40 »
Katalog zawsze musi mieć prawo x
« Ostatnia zmiana: 2018-03-26, 14:31:27 wysłana przez parana »

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2621
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • keybase.io/pkraszewski
Odp: Uprawnienia
« Odpowiedź #2 dnia: 2018-03-26, 14:09:23 »
* Atrybut "wykonywalności" do katalogu to to, czy wolno ci do niego wejść. Jak nie możesz wejść, to nie wyświetlisz zawartości.

* "aby nie dalo sie uruchomic skryptu takze innym programem" i "aby mozna bylo go przeczytac w edytorze tekstowym" są sprzeczne. Wywołanie skryptu przez "bash skrypt", "python skrypt" albo "mojUlubionyInterpreter skrypt" nie robi nic poza czytaniem tego skryptu - nie jest wymagane uprawnienie do uruchomienia. Przed takim uruchomieniem nie broni nawet dodanie noexec do flag montowania katalogu domowego. Atrybut wykonywalności włącza jedynie mechanizm interpretacji pierwszej linijki skryptu (#!/....) jako interpretera do uruchomienia skryptu bez jawnego jego podawania.

test.sh   rwxr-xr-x:
#!/bin/sh
echo "Hello world"
można uruchomić tak:

> ./test.sh   # bo jest wykonywalny oraz ma bangline na początku
> sh ./test.sh # bo da się przeczytać (nie ma innych wymagań)
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2396
  • 1709
    • Zobacz profil
Odp: Uprawnienia
« Odpowiedź #3 dnia: 2018-03-26, 14:41:32 »
Cytuj
* Atrybut "wykonywalności" do katalogu to to, czy wolno ci do niego wejść.
Tu mnie zaskoczyles  :D

Zdaje sobie sprawe ze mozliwosc przeczytania pliku
nie zabroni programowi ktory go czyta,
skopiowania zawartosci do pamieci i jego wykonanie z uprawnieniami.

Ale zauzmy ze uffam tylko programom nano i tar,
Czy moge uruchomic np. firefoxa bez sandboxa,
zeby nie mogl czytac plikow w katalogu domowym ?
( przy zalozeniu ze pliki tymczasowe bedzie trzymal w /tmp , a nie w katalogu domowym )

Edytowane
Zauwazylem ze jesli chcemy ograniczyc prawa do jakiegos katalogu
np. /home/tele/test/
to nalezy usunac prawa wejscia ( x ) dla innych uzytkownikow
$ ls -l test
total 4
-rw-rw-r-- 1 tele tele 5 Mar 26 13:06 t
i uruchamiac programy z innego konta uzytkownika
$ ls -l /home/tele/test/t
-rw-rw-r-- 1 tele tele 5 Mar 26 13:06 /home/tele/test/t
$ su test -c 'ls -l /home/tele/test/t'
Password:
ls: cannot access /home/tele/test/t: Permission denied

Jedyny problem jeszcze widze tylko w tym ze programy moga sobie
nawzajem czytac pliki tymczasowe, ale usuwac podobno juz niekoniecznie.
Cytuj
Sticky bit jest używany, gdy zachodzi potrzeba aby w danym współdzielonym katalogu wszyscy użytkownicy mogli tworzyć katalogi i pliki ale aby nie mogli sobie wzajemnie usuwać ich.
http://www.linuxexpert.pl/posts/2132/prawa-dostepu-do-plikow/

Edytowane
Zle przeczytalem o Sticky bit, to dotyczy uztkownikow,
 a nie programow na tym samym koncie.
« Ostatnia zmiana: 2018-03-26, 16:08:07 wysłana przez 1709 »
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.

Offline vanhelzing

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 314
    • Zobacz profil
Odp: Uprawnienia
« Odpowiedź #4 dnia: 2018-03-26, 17:42:53 »
Cytuj
Czy moge uruchomic np. firefoxa bez sandboxa,
zeby nie mogl czytac plikow w katalogu domowym ?

Możesz stworzyć użytkownika "firefox" i uruchamiać firefoksa z jego uprawnieniami.

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2396
  • 1709
    • Zobacz profil
Odp: Uprawnienia
« Odpowiedź #5 dnia: 2018-03-26, 19:31:22 »
Dzieki wszystkim za wyjasnienia. :)
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.