คำถามติดแท็ก permissions

เรามีเซิร์ฟเวอร์ Ubuntu 10.04 ฉันจะตั้งค่าอย่างไรเพื่อให้ไฟล์ใหม่ที่สร้าง (หรือคัดลอก) ผ่าน SFTP หรือ SSH มีสิทธิ์ g + rw และ g + rwx (ตามความเหมาะสม) ฉันยังใช้ setgid (chmod g + s) เพื่อให้พวกเขาสืบทอดเจ้าของกลุ่มที่เหมาะสม

16 ubuntu  ssh  permissions  sftp  umask 

ฉันพยายามรีเซ็ตสิทธิ์ในไดเรกทอรีผู้ใช้และมีปัญหาเล็กน้อยกับขั้นตอนสุดท้ายของสคริปต์ สคริปต์ของฉันเป็นเจ้าของไดเรกทอรีผู้ใช้ทั้งหมดรีเซ็ตสิทธิ์ในไฟล์และโฟลเดอร์ทั้งหมดสำหรับไดเรกทอรีมอบสิทธิ์ที่ฉันต้องการอย่างชัดเจนหยุดการสืบทอดสิทธิ์ทั้งหมดจากโฟลเดอร์พาเรนต์ตั้งค่าเจ้าของโดยชอบธรรม (ผู้ใช้ที่ระบุ) สำหรับไฟล์ทั้งหมด และโฟลเดอร์จากนั้นลบการอนุญาตที่ฉันให้กับตัวเองเพื่อที่ฉันจะสามารถใช้งานไฟล์ได้ ฉันต้องการขั้นตอนสุดท้ายนี้เพื่อลบตัวเองออกจากไฟล์และโฟลเดอร์ย่อยทั้งหมด แต่ในขณะนี้มันเพิ่งลบฉันออกจาก% userDir% และปล่อยให้สิทธิ์ที่สืบทอดมาทั้งหมดอยู่ด้านล่าง นี่คือข้อบกพร่องที่ชัดเจนใน ICACLS ไม่มีใครรู้วิธีอื่นในการบรรลุเป้าหมายนี้ set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe) TAKEOWN /f "E:\Home Directories\%userDir%" /r /d y ICACLS "E:\Home Directories\%userDir%" /reset /T ICACLS "E:\Home Directories\%userDir%" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F /grant:r "SYSTEM":(OI)(CI)F /grant:r "MYDOMAIN\%username%":(OI)(CI)F ICACLS "E:\Home …

16 windows  permissions  scripting 

ฉันพยายามเพิ่มผู้ใช้ใหม่ไปยังฐานข้อมูล SQL Server 2012 โดยใช้ Studio จัดการเซิร์ฟเวอร์ SQL ฉันคลิกขวาและเลือก 'เพิ่มผู้ใช้' ภายใต้ความปลอดภัย -> ผู้ใช้กรอกข้อมูลผู้ใช้แล้วคลิกตกลง สตูดิโอการจัดการโยนข้อความผิดพลาด "ไม่ใช่การเข้าสู่ระบบที่ถูกต้องหรือคุณไม่ได้รับอนุญาต" ฉันจะเพิ่มผู้ใช้นี้ได้อย่างไร?

16 permissions  user-accounts  sql-server-2012 

ฉันค่อนข้างสับสนเกี่ยวกับรูปแบบความปลอดภัยของไฟล์ Windows ทั้งหมด ฉันมาจากพื้นหลังยูนิกซ์ดังนั้นฉันจึงไม่เข้าใจความสัมพันธ์ระหว่างการอนุญาตไฟล์ / การตั้งค่าความปลอดภัยและคุณลักษณะ อ่านอย่างเดียวโดยเฉพาะว่าไฟล์สามารถมีได้ ตัวอย่างเช่นหากฉันเข้าสู่ระบบในฐานะผู้ดูแลระบบในกล่องของฉันและฉันมีไฟล์ที่อนุญาตการควบคุมเต็มรูปแบบสำหรับผู้ดูแลระบบ แต่มีชุดคุณลักษณะแบบอ่านอย่างเดียวนั่นหมายความว่าฉันไม่สามารถเขียนไปยังไฟล์นั้นได้? มีวิธีใดนอกเหนือจากการลบคุณลักษณะอ่านอย่างเดียวที่ฉันสามารถเขียนไปยังไฟล์ที่ฉันควรควบคุมเต็มรูปแบบ? ถ้าไม่เป็นเช่นนั้นข้อดีของการมีการควบคุมอย่างเต็มที่หากคุณไม่มีการควบคุมเต็มที่

15 windows  permissions 

ฉันพบปัญหาที่ค่อนข้างน่าสนใจเมื่อเล่นกับหนึ่งในแล็บของโดเมนของฉัน มีไดเรกทอรีในไฟล์เซิร์ฟเวอร์ 2008 R2 ที่ใช้สำหรับการเปลี่ยนเส้นทางโฟลเดอร์สำหรับผู้ใช้ทั้งหมดใน OU "Staff" ไดเรกทอรีมีการตั้งค่าการอนุญาตดังต่อไปนี้: FILESERVER \ Administrators: อนุญาตการควบคุมเต็มรูปแบบไปยังไดเรกทอรีไดเรกทอรีย่อยและไฟล์ DOMAIN \ Domain Admins: อนุญาตให้ควบคุมไดเรกทอรีไดเรกทอรีย่อยและไฟล์ทั้งหมด ผู้ใช้ที่ได้รับการรับรองความถูกต้อง: อนุญาตให้สร้างไฟล์สร้างโฟลเดอร์เขียนคุณสมบัติและเขียนคุณสมบัติเพิ่มเติมลงในไดเรกทอรีบนสุดเท่านั้น นอกจากนี้ไดเรกทอรียังเป็นเครือข่ายที่ใช้ร่วมกันด้วย "อนุญาตการควบคุมเต็มรูปแบบ" ให้กับกลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้อง เมื่อผู้ใช้ john.doe สมาชิกของกลุ่มผู้ดูแลระบบโดเมนพยายามเข้าถึงไดเรกทอรีจาก fileserver เขาได้รับข้อผิดพลาด "คุณไม่ได้รับอนุญาตให้เข้าถึงโฟลเดอร์นี้" การพยายามเข้าถึงเครือข่ายที่ใช้ร่วมกันจากเซิร์ฟเวอร์เดียวกันยังส่งผลให้เกิดข้อผิดพลาดในการปฏิเสธสิทธิ์ (แม้ว่าผู้ใช้ยังสามารถเข้าถึงไดเรกทอรีของตัวเองได้ภายในการแชร์) การเข้าถึงการแชร์จากคอมพิวเตอร์เครื่องอื่นที่เข้าสู่ระบบในฐานะผู้ใช้เดียวกันอนุญาตให้เข้าถึงได้ตามที่กำหนดไว้ วิธีเดียวที่คุณสามารถเข้าถึงไฟล์ในไดเรกทอรีในขณะที่เข้าสู่ระบบไฟล์เซิร์ฟเวอร์คือการเปิดพร้อมท์คำสั่ง UAC ถูกปิดใช้งานสำหรับคอมพิวเตอร์ทุกเครื่องในโดเมนผ่านนโยบายกลุ่ม (เปิดใช้งานผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติผู้ดูแลระบบและเปิดใช้งานพฤติกรรมเริ่มต้นเพื่อยกระดับโดยไม่ต้องแจ้งให้ทราบ) ถนนทุกสายชี้ไปที่ผู้ใช้ที่ได้รับอนุญาตให้เข้าถึง แต่ยังคงถูกปฏิเสธ ความคิดใด ๆ

15 windows  active-directory  permissions 

ฉันมีไดเรกทอรีที่มี ACL เริ่มต้นต่อไปนี้: default:user:phptutor:rwx อย่างไรก็ตามไม่มีไฟล์ / ไดเรกทอรีในไดเรกทอรีนั้นที่มีสิทธิ์เริ่มต้นนั้น (เพราะมันถูกเพิ่มหลังจากที่พวกเขาถูกสร้างขึ้น) ฉันจะคัดลอก ACL เริ่มต้นของไดเรกทอรีหลักไปยังทุกโฟลเดอร์และไฟล์ได้อย่างไร

15 linux  permissions  access-control-list  file-permissions 

ฉันมีโฟลเดอร์เซิร์ฟเวอร์สมาชิก 2003 ซึ่งไม่สามารถลบได้ ไม่มีสิทธิ์ใด ๆ (ผู้ดูแลโดเมนและเรียกใช้ cmd พรอมต์ว่า "nt Authority \ system" โดยใช้ psexec) - "ปฏิเสธการเข้าถึง" เสมอ เมื่อฉันทำ dir / q เจ้าของจะแสดงเป็น "... " ฉันได้ลอง takeown.exe ในโฟลเดอร์และมันก็เป็นตัวหลักด้วย โฟลเดอร์ที่ไม่ดีจะรายงานว่า "การเข้าถึงถูกปฏิเสธ" เสมอ พยายามรีเซ็ตโดยใช้ icacls เหมือนกัน สิทธิ์ของ Explorer ไม่มีตัวเลือกการแชร์ & ความปลอดภัยหรือแท็บ มันทำงานได้ดีสำหรับโฟลเดอร์อื่น ๆ แม้ในไดเรกทอรีเดียวกัน

15 ntfs  permissions 

ฉันมีไดเรกทอรีที่แน่นอนซึ่งมีโครงการที่แบ่งใช้โดยผู้ใช้หลายคน ผู้ใช้เหล่านี้ใช้ SSH เพื่อเข้าถึงไดเรกทอรีนี้และแก้ไข / สร้างไฟล์ โปรเจ็กต์นี้ควรเขียนได้สำหรับผู้ใช้บางกลุ่มเท่านั้น: ให้เรียกมันว่า "mygroup" ในระหว่างเซสชัน SSH ไฟล์ / ไดเรกทอรีทั้งหมดที่สร้างโดยผู้ใช้ปัจจุบันควรเป็นค่าเริ่มต้นโดยกลุ่ม "mygroup" และมีสิทธิ์ในการเขียนกลุ่ม ฉันสามารถแก้ปัญหาการอนุญาตด้วยumask: $ cd project $ umask 002 $ touch test.txt ไฟล์ "test.txt" สามารถเขียนเป็นกลุ่มได้ แต่ยังคงเป็นกลุ่มเริ่มต้นของฉัน ("mislav" เหมือนกับชื่อผู้ใช้ของฉัน) และไม่ใช่ "mygroup" ฉันสามารถchgrpตั้งกลุ่มที่ต้องการซ้ำ แต่ฉันต้องการที่จะรู้ว่ามีวิธีการตั้งกลุ่มบางอย่างโดยนัยเช่น umask การเปลี่ยนแปลงสิทธิ์เริ่มต้นในช่วงเซสชั่น ไดเรกทอรีเฉพาะนี้เป็น repo git ที่ใช้ร่วมกันกับสำเนาการทำงานและฉันต้องการgit checkoutและgit resetการดำเนินงานเพื่อตั้งค่ารูปแบบที่ถูกต้องและกลุ่มสำหรับไฟล์ใหม่ที่สร้างขึ้นในสำเนาการทำงาน ระบบปฏิบัติการคือ Ubuntu Linux อัปเดต:เพื่อนร่วมงานแนะนำว่าฉันควรมองหา getfacl / …

15 unix  permissions  umask  posix  chgrp 

สิทธิ์เป็นสิ่งที่ทำให้ฉันสับสนในขณะที่ใช้ Linux ดังนั้นนาทีทั้งอินสแตนซ์ NGinx และ PHP-FPM ของฉันกำลังทำงานกับผู้ใช้และกลุ่ม: ข้อมูล www เป็นมาตรฐานนี้หรือไม่ ฉันประสบปัญหาเมื่อเจอการอัปโหลดไฟล์ ตัวอย่างไฟล์จะถูกอัพโหลดทั้งกับผู้ใช้และกลุ่ม www-data ตอนนี้เนื่องจากฉันตั้งค่าการอนุญาต (0440) ในแอปพลิเคชันเว็บของฉันฉันไม่สามารถลงชื่อเข้าใช้ผ่าน ssh ด้วยบัญชีปกติของฉันเพื่อดาวน์โหลดไฟล์เหล่านั้น สิ่งนี้ไม่สามารถเปลี่ยนแปลงได้ ฉันกำลังคิดที่จะเปลี่ยนอินสแตนซ์ nginx และ php ของฉันเพื่อรักษากลุ่มไว้ แต่เปลี่ยนให้ทำงานภายใต้ชื่อผู้ใช้ของฉัน วิธีการจัดการสิทธิ์ที่ถูกต้องที่นี่เป็นอย่างไร ขอขอบคุณ.

15 linux  permissions  users  groups  runas 

บน Mac OS 10.5 เครื่องของฉันฉันต้องการจะตั้งค่าโฟลเดอร์ย่อยของ~/Documentsเหมือน~/Documents/foo/htmlจะเป็นhttp: // localhost / foo สิ่งแรกที่ฉันคิดว่าทำคือใช้นามแฝงดังนี้: Alias /foo /Users/someone/Documents/foo/html <Directory "/Users/someone/Documents/foo/html"> Options Indexes FollowSymLinks MultiViews Order allow,deny Allow from all </Directory> สิ่งนี้ทำให้ฉันต้องห้าม 403 ใน error_log ฉันได้รับ: [error] [client ::1] (13)Permission denied: access to /foo denied โฟลเดอร์ย่อยที่มีปัญหามีการเข้าถึง chmod 755 ฉันได้ลองระบุไลค์เช่นhttp: //localhost/foo/test.phpแล้ว แต่นั่นก็ไม่ได้ผลเหมือนกัน ต่อไปฉันลองเส้นทาง symlink เดินเข้าไป/Library/WebServer/Documentsและทำให้ symlink ~/Documents/foo/htmlให้ …

15 apache-2.2  permissions  mac  http-status-code-403 

ฉันใช้บริการระดับผู้ใช้ใน Ubuntu 16.04 LTS ตัวอย่างเช่นฉันมี test.service ของฉันอยู่ที่ ~ / .config / systemd / user / test.service ฉันสามารถเรียกใช้บริการโดยทำ systemctl --user start test.target อย่างไรก็ตามเมื่อฉันพยายามอ่านบันทึกโดยใช้ journalctl ฉันได้รับข้อความแสดงข้อผิดพลาดนี้: journalctl --user -u test.service Hint: You are currently not seeing messages from other users and the system. Users in the 'systemd-journal' group can see all messages. …

15 permissions  systemd  ubuntu-16.04  systemctl  journalctl 

ฉันใช้สภาพแวดล้อม vserver กับเครื่องเสมือนหลายเครื่อง VM เดียวมีปัญหาต่อไปนี้: $ ping 8.8.8.8 ping: icmp open socket: Operation not permitted $ ls -l $(which ping) -rwsr-xr-x 1 root root 30736 2007-01-31 00:10 /bin/ping $ whoami root $ mount /dev/hdv1 on / type ufs (defaults) none on /proc type proc (0) none on /tmp type tmpfs …

14 permissions  virtual-machines  ping 

ผู้ใช้ที่เข้าสู่ระบบบนเซิร์ฟเวอร์ Linux ของฉันควรจะสามารถ ssh ไปยังเครื่องระยะไกลเฉพาะด้วยบัญชีเริ่มต้น การรับรองความถูกต้องบนเครื่องระยะไกลใช้รหัสสาธารณะดังนั้นบนเซิร์ฟเวอร์จึงมีรหัสส่วนตัวที่เกี่ยวข้อง ฉันไม่ต้องการให้ผู้ใช้เซิร์ฟเวอร์อ่านรหัสส่วนตัวได้จริง โดยพื้นฐานแล้วความจริงที่ว่าพวกเขามีสิทธิ์เข้าถึงเซิร์ฟเวอร์จะอนุญาตให้ ssh ถูกต้องและการลบออกจากเซิร์ฟเวอร์ก็ควรไม่อนุญาตการเชื่อมต่อกับเครื่องระยะไกล ฉันจะอนุญาตให้ผู้ใช้เปิดการเชื่อมต่อ ssh โดยไม่ให้สิทธิ์การเข้าถึงแบบอ่านแก่ไพรเวตคีย์ได้อย่างไร? ความคิดของฉันจนถึงตอนนี้: เห็นได้ชัดว่าปฏิบัติการ ssh จะต้องสามารถอ่านคีย์ส่วนตัวดังนั้นจึงต้องทำงานภายใต้ผู้ใช้รายอื่นบนเซิร์ฟเวอร์ที่มีสิทธิ์เหล่านั้น เมื่อสร้างการเชื่อมต่อ ssh แล้วฉันสามารถ "ส่งต่อ" ไปยังผู้ใช้เพื่อให้เขาสามารถป้อนคำสั่งและโต้ตอบกับเครื่องระยะไกล นี่เป็นวิธีที่ดีหรือไม่? ฉันจะใช้การส่งต่อได้อย่างไร ผู้ใช้จะเริ่มต้นการเชื่อมต่อได้อย่างไร (นั่นคือการดำเนินการของ ssh โดยผู้ใช้ที่มีสิทธิ์อ่านบนคีย์) มีช่องโหว่ความปลอดภัยหรือไม่? - หากผู้ใช้สามารถรัน ssh ในฐานะผู้ใช้รายอื่นพวกเขาสามารถทำทุกสิ่งที่ผู้ใช้รายอื่นสามารถทำได้ (รวมถึงการอ่านคีย์ส่วนตัว) หรือไม่

14 linux  ssh  permissions  public-key 

ทำงานกับความปลอดภัยใน SQL Server 2008 ฉันพยายามให้สิทธิ์ผู้ใช้สร้าง CREATE TABLE แต่เฉพาะภายในสคีมาที่เฉพาะเจาะจง สิทธิ์ CREATE TABLE ใช้กับระดับฐานข้อมูลเท่านั้นหรือไม่ ฉันสามารถ จำกัด ผู้ใช้เพื่อสร้างตารางภายในสคีมาได้หรือไม่ ฉันได้พยายาม: USE [databasename] GRANT CONTROL ON Schema :: [schemaname] TO [username] GO และ USE [databasename] GRANT ALTER ON Schema :: [schemaname] TO [username] GO แต่ผู้ใช้ยังคงไม่สามารถสร้างตารางภายในสคีมาเป้าหมาย มันไม่ได้จนกว่าฉันจะเรียกใช้หมวกผู้ใช้สามารถสร้างตาราง: USE [databasename] GRANT CREATE TABLE to [username] GO GRANT …

14 sql-server  permissions 

ฉันต้องการความช่วยเหลือในการตั้งค่าสิทธิ์ที่ถูกต้องหรือเป็นเจ้าของรากเอกสาร apache นี่คือสิ่งที่ฉันต้องการ: เว็บไซต์ต่าง ๆ เก็บไว้ใน /var/www/html/<site> ผู้ใช้สองคนควรอัพเดต / จัดการเว็บไซต์ผ่าน ssh การเป็นเจ้าของควรแตกต่างจากผู้ใช้ apache (เพื่อความปลอดภัย) ฉันจะทำสิ่งนี้ได้อย่างไร ในขณะนี้ไฟล์ทั้งหมดสามารถเขียนได้ทั่วโลกซึ่งไม่ดี เซิร์ฟเวอร์รัน CentOS 5.5 ขอบคุณ

14 apache-2.2  centos  permissions  documentroot