คำถามติดแท็ก access-control

* การอนุญาตของผู้ใช้ nix นั้นง่ายมาก แต่สิ่งต่าง ๆ อาจยุ่งเหยิงเมื่อคุณต้องคำนึงถึงการเข้าถึงไดเรกทอรีแม่ทั้งหมดก่อนถึงไฟล์ที่กำหนด ฉันจะตรวจสอบได้อย่างไรว่าผู้ใช้มีสิทธิ์เพียงพอหรือไม่ ถ้าไม่เช่นนั้นไดเรกทอรีใดที่ปฏิเสธการเข้าถึง ตัวอย่างเช่นสมมติว่าผู้ใช้และไฟล์joe /long/path/to/file.txtแม้ว่าfile.txtchmoded จะอยู่ที่ 777 โจก็ยังต้องสามารถเข้าถึงได้/long/จากนั้น/long/path/และ/long/path/to/ก่อนหน้านี้ สิ่งที่ฉันต้องการคือวิธีตรวจสอบสิ่งนี้โดยอัตโนมัติ หากjoeไม่มีการเข้าถึงฉันก็อยากจะรู้ว่าเขาถูกปฏิเสธที่ไหน บางทีเขาอาจจะสามารถเข้าถึงแต่ไม่/long//long/path/

60 permissions  files  users  access-control 

Fr. br จอร์จบอกในหนึ่งในการบรรยายของเขา (เป็นภาษารัสเซีย) ว่ามีสิทธิ์การเข้าถึงบางส่วนที่ superuser ไม่สามารถละเมิด นั่นคือมีสิทธิ์การเข้าถึงบางอย่างที่สามารถห้ามผู้ใช้ระดับสูงทำบางสิ่งได้ ฉันไม่สามารถค้นหาข้อมูลนี้บนอินเทอร์เน็ตและฉันอยากรู้ว่าพวกเขาคืออะไร นี่อาจเป็นสิ่งที่เกี่ยวข้องกับการประมวลผลหลักของระบบใช่ไหม บางทีเขาไม่สามารถหยุดกระบวนการบางอย่างของระบบ? หรือบางทีเขาไม่สามารถเรียกใช้กระบวนการในโหมดจริงได้? คำถามนี้ไม่เกี่ยวข้องกับ SELinux (จอร์จพูดถึงเรื่องนี้ก่อนคำถาม)

23 root  privileges  access-control 

เมื่อติดตั้ง SELinux บนระบบจะมีการบังคับใช้กฎก่อนหรือหลังสิทธิ์มาตรฐานของ linux หรือไม่ ตัวอย่างเช่นหากผู้ใช้ที่ไม่ใช่รูทลินุกซ์พยายามเขียนลงไฟล์ที่มีสิทธิ์ลินุกซ์-rw------- root rootจะทำการตรวจสอบกฎ SELinux ก่อนหรือจะใช้สิทธิ์ระบบไฟล์มาตรฐานและ SELinux ไม่เคยเรียกใช้หรือไม่

22 files  permissions  selinux  access-control 

ปิด คำถามนี้ต้องการรายละเอียดหรือความคมชัด ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ เพิ่มรายละเอียดและชี้แจงปัญหาโดยแก้ไขโพสต์นี้ ปิดให้บริการใน3 ปีที่ผ่านมา /etc/sudoersรายชื่อไฟล์ที่ผู้ใช้สามารถทำในสิ่งที่มีsudoคำสั่ง ผู้ใช้รูทสร้างและแก้ไข/etc/sudoersไฟล์ แนวคิดนี้ยากสำหรับฉันที่จะเข้าใจ หากผู้ใช้ทั้งหมดที่มี sudo privilage อยู่ในsudoersกลุ่มผู้ใช้ทั้งหมดจะกลายเป็นรูตได้ด้วยการให้sudo suคำสั่ง แล้วใครคือผู้ใช้รูทจริงและเขาควบคุมพลังของผู้ใช้ในกลุ่ม sudoers อย่างไร กรุณาอธิบายให้ฉัน

21 permissions  sudo  users  root  access-control 

ฉันอ่านหรือได้ยินที่ไหนสักแห่ง (อาจเป็นในหลักสูตร SELinux ของ LinuxCBTแต่ฉันไม่แน่ใจ) ว่ามีเซิร์ฟเวอร์ Linux ออนไลน์ที่ให้รหัสผ่านของผู้ใช้รูทด้วย เซิร์ฟเวอร์ Linux ถูกทำให้แข็งโดยใช้กฎ SELinux เพื่อให้ทุกคนสามารถเข้าสู่ระบบด้วยผู้ใช้รูท แต่ไม่สามารถทำอันตรายต่อระบบปฏิบัติการได้ ดูเหมือนว่าจะเป็นตำนานสำหรับฉัน แต่ฉันต้องการตรวจสอบให้แน่ใจว่า: เป็นไปได้ไหมที่จะทำให้กล่อง Linux แข็งขึ้น (อาจมี SELinux) เช่นนี้แม้แต่ผู้ใช้รูทก็ไม่สามารถทำกิจกรรมที่เป็นอันตรายกับมันได้ (ตัวอย่าง: การลบไฟล์ระบบการล้างไฟล์บันทึกการหยุดบริการที่สำคัญ ฯลฯ ) เช่นกล่อง Linux จะเป็นจุดเริ่มต้นที่ดีสำหรับการสร้างhoneypot แก้ไข: ขึ้นอยู่กับคำตอบ (ตอนนี้ถูกลบ) และ Googling นิดหน่อยฉันมีลิงก์อย่างน้อยสองลิงก์ซึ่งชี้ไปยังเซิร์ฟเวอร์ Linux ที่แข็งตัวดังกล่าว น่าเสียดายที่เซิร์ฟเวอร์ทั้งสองไม่ทำงาน สำหรับบันทึกฉันจะคัดลอกคำอธิบายที่นี่: 1) จากhttp://www.coker.com.au/selinux/play.html : เข้าถึงรูทฟรีบนเครื่อง SE Linux! ในการเข้าถึง Debian ของฉันเพื่อเล่นplay.coker.com.auในฐานะรูทรหัสผ่านคือ ... โปรดทราบว่าเครื่องดังกล่าวต้องใช้ทักษะจำนวนมากหากคุณเรียกใช้พวกเขาประสบความสำเร็จ …

20 security  selinux  access-control  hardening 

ฉันได้พัฒนาแอปพลิเคชันที่ใช้ NTP เพื่อเปลี่ยนเวลาเครือข่ายเพื่อซิงค์คอมพิวเตอร์สองเครื่องของฉัน มันทำงานเป็นrootเพราะหลังเท่านั้นที่ได้รับอนุญาตให้เปลี่ยนเวลาและวันที่บน Linux (ฉันเดา) ตอนนี้ฉันต้องการเรียกใช้ในฐานะผู้ใช้ แต่ฉันต้องเข้าถึงเวลา เป็นการดีที่จะเรียกใช้ daemon ภายใต้บัญชีผู้ใช้ที่ไม่ใช่รูทหรือไม่? ฉันจะให้ความสามารถกับแอปพลิเคชันของฉันเช่นCAP_SYS_TIME? มันไม่ได้แนะนำจุดอ่อนด้านความปลอดภัยหรือไม่? มีวิธีที่ดีกว่า?

13 security  daemon  access-control 

ฉันได้ปิดการใช้งานการเข้าสู่ระบบของผู้ใช้รูทจากไฟล์ Sshd.conf ดังนั้นตอนนี้ไม่มีใครสามารถเข้าสู่ระบบโดยใช้ผู้ใช้รูทแม้ว่าพวกเขาจะรู้รหัสผ่าน SOMEHOW ตอนนี้ฉันมีผู้ใช้ 3 คนในเซิร์ฟเวอร์ ROOT, EMERG และ ORACLE ฉันต้องการอนุญาตให้เปลี่ยนเป็น ROOT สำหรับผู้ใช้ EMERG โดยใช้ su - ไม่ใช่ผู้ใช้ ORACLE เพราะโดยปกติถ้าผู้ใช้รู้รหัสผ่าน ROOT พวกเขาสามารถเปลี่ยนไปใช้รูทโดยใช้ su - และฉันต้องการคุณสมบัตินี้ใช้ได้เฉพาะกับผู้ใช้ EMERG เท่านั้น วิธีการทำเช่นนี้ ขอบคุณล่วงหน้า......

12 security  rhel  users  su  access-control 

ฉันมีผู้ใช้ที่ จำกัด การเข้าถึงระบบ (นั่นคือเขาไม่ใช่ sudoer); ให้โทรเขาบ๊อบ ฉันมีสคริปต์หรือไบนารีซึ่งฉันผู้ดูแลระบบไว้วางใจและจะไม่มีปัญหาในการเรียกใช้เป็น root มาเรียกสคริปต์get-todays-passphrase.shกันก่อน งานของสคริปต์นี้คือการอ่านข้อมูลจากไฟล์ "ส่วนตัว" (เป็นของผู้ใช้ / กลุ่มอื่นที่ไม่ใช่บ็อบหรือรูท) ที่อยู่ใน/srv/daily-passphrasesและส่งออกเฉพาะบรรทัดจากไฟล์: บรรทัดที่สอดคล้องกับวันที่วันนี้ . ผู้ใช้เช่น Bob ไม่ได้รับอนุญาตให้รู้วลีรหัสผ่านของวันพรุ่งนี้แม้ว่าจะมีการระบุไว้ในไฟล์ ด้วยเหตุผลนี้ไฟล์/srv/daily-passphrasesได้รับการปกป้องโดยสิทธิ์ Unix ดังนั้นผู้ใช้ที่ไม่ใช่รูทเช่น Bob จะไม่ได้รับอนุญาตให้เข้าถึงไฟล์โดยตรง อย่างไรก็ตามพวกเขาได้รับอนุญาตให้เรียกใช้get-todays-passphrase.shสคริปต์ได้ตลอดเวลาซึ่งส่งกลับข้อมูล "กรอง" ในการสรุป (รุ่นTL; DR ): Bob ไม่สามารถอ่านไฟล์ที่มีการป้องกันได้ สคริปต์สามารถอ่านไฟล์ที่ได้รับการป้องกัน ตลอดเวลาบ๊อบสามารถเรียกใช้สคริปต์ซึ่งสามารถอ่านไฟล์ได้ เป็นไปได้ไหมที่จะทำสิ่งนี้ภายในสิทธิ์ของไฟล์ Unix? หรือถ้าบ๊อบเริ่มสคริปต์สคริปต์จะต้องถูกกำหนดให้ทำงานด้วยสิทธิ์แบบเดียวกับบ็อบหรือไม่

11 permissions  root  access-control 

ฉันกำลังมองหาทุกสิ่งนี้ ไม่มีใครรู้วิธีการบล็อก URL เฉพาะในเราเตอร์ DD-WRT หรือไม่? ตัวอย่างเช่นผมต้องการปิดกั้นwebsite.com/whateverแต่ไม่website.com, หรือblah.website.com website.com/blahมีวิธีการทำเช่นนี้หรือคุณสามารถบล็อกทั้งโดเมนได้หรือไม่ ฉันพยายามเพิ่ม URL ที่เป็นปัญหาภายใต้ข้อ จำกัด การเข้าถึงในการกำหนดค่า DD-WRT แต่ดูเหมือนจะไม่มีผลใด ๆ นี่คือการตั้งค่าของฉัน: และนี่คือรายชื่อลูกค้า: ฉันยังสามารถเรียกดูไปที่ google.com/imghp และ google.com/images ได้อย่างง่ายดาย (ซึ่งเปลี่ยนเส้นทางไปที่ google.com/imghp) บนพีซีหลักของฉันที่มีที่อยู่ IP 192.168.1.146 ในหน้านี้ของวิกิ DD-WRT จะมีข้อความระบุว่า "ภายใต้การบล็อกเว็บไซต์โดยใช้ที่อยู่ URL ให้ป้อนชื่อโดเมนที่คุณต้องการบล็อก (ถ้ามี)" นอกเหนือจากการโพสต์ในฟอรัม DD-WRT ทำให้ฉันรู้สึกว่าคุณสามารถบล็อกโดเมนภายใต้ข้อ จำกัด การเข้าถึงในการตั้งค่า DD-WRT ฉันเริ่มสงสัยว่าปัญหานี้จะต้องแก้ไขโดยใช้ iptables หรืออาจจะโดยการติดตั้งพร็อกซีเซิร์ฟเวอร์บนเราเตอร์ของตัวเอง แก้ไข ผู้ใช้ goli ในฟอรัม DD-WRT …

9 web  dd-wrt  http-proxy  access-control