mjo*_*uni 5 linux root file-permissions
我有一个通常位于 /root 下的文件夹,通常由 root 用户使用。我现在需要允许另一个用户(root 除外)使用它,但它必须保留在 /root 下。那可能吗?
编辑:感谢大家的意见和帮助。我们确实理解这对安全的影响,并完全理解我们的要求。因此,除了消除所有安全问题之外,还有一种方法可以做到这一点。谢谢你。
首先,您做错了™。您尝试执行此操作的方式存在根本性错误。如果您尝试了解正常的 unix 安全和权限模型并使用它而不是对抗/破坏它,那么您的软件会更好。
我能想到的做你想做的事而不在文件系统权限中造成一千个漏洞的唯一方法是使用组和基于组的权限设置有问题的文件夹,然后使用绑定挂载将其挂载到其他地方它可以通过用户可访问的路径而不是 /root 内部访问。数据可以留在那里,但非 root 用户不应该把头放在那里,所以它需要文件系统中其他地方的句柄。你不能符号链接到它,因为它只会让你通过 /root 返回,但是 root 提前设置绑定安装应该提供一个备用路径,它可以作为非 root 用户访问。
编辑:在具有硬编码路径的应用程序的评论中澄清的情况下,我或Alkdae建议的任何内容都不会实际工作。作为临时解决方法,我建议确保 root 中的任何敏感内容(例如/root/.ssh拥有root:root并标记为0600或其他此类限制性权限)。然后将/root不需要的任何内容移动到子文件夹中,例如/root/root_files并确保root:root 0600也是。一旦您确定没有任何东西可被看到或被利用,请将组所有权设置为/root某个特殊组,例如 temproot 并将其设置为该组可浏览(但不是世界或普通用户组!)。然后将您的特殊用户添加到该组,并将/root该 Java 应用程序使用的文件设置为拥有root:temproot 具有适当的组写入/执行权限。
一旦您可以修复有问题的 Java 应用程序,就将 root 中的所有内容 chown 回root:root.
| 归档时间: |
|
| 查看次数: |
5919 次 |
| 最近记录: |