AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题 / 1737302
Accepted
Kenshie van Assche
Kenshie van Assche
Asked: 2022-08-17 06:19:28 +0800 CST2022-08-17 06:19:28 +0800 CST 2022-08-17 06:19:28 +0800 CST

NFS 和 SMB 澄清的根压扁

  • 772

根压缩意味着当我尝试访问已启用它的目录时,我将无法使用我的根权限,因为它将被重新映射到 nfsnobody 用户或指定的任何用户。我想知道以下内容;如果我以 root 身份在我自己的计算机上创建一个可执行文件,并设置 ( chmod u+sx) executable.sh 的 UID,然后将该文件复制到 NFS 服务器,我仍然无法以 root 身份执行,因为它将被重新映射给 nfsnobody 用户。尽管如此,想象一下我能够通过 SSH 连接到与普通用户相同的服务器,具有平均权限,没有 root 或任何东西。如果我在那里执行相同的 executable.sh 文件,它就不会被重新映射,对吧?它将以我假设的 root 用户身份执行。

我的假设是否正确,如果不是,一些澄清将非常有用!

另一个小问题:使用 SMB 时是否有类似 root squashing 之类的东西,因为我可以使用 UID 集 () 将文件从我自己的计算机复制到 smb 共享(该文件是由 root 创建的chmod u+sx)并在那里执行它?

祝你有美好的一天!

linux bash
  • 1 1 个回答
  • 61 Views

1 个回答

  • Voted
  1. Best Answer
    user1686
    2022-08-17T06:46:27+08:002022-08-17T06:46:27+08:00

    如果我以 root 身份在自己的计算机上创建一个可执行文件,并设置 (chmod u+sx) executable.sh 的 UID,然后将该文件复制到 NFS 服务器,我仍然无法以 root 身份执行它将被重新映射到 nfsnobody 用户。

    听起来您假设“root_squash”适用于服务器报告的信息,但不适用于客户端身份。但实际上恰恰相反:“root_squash”仅适用于用户凭据(即谁在执行操作),而不适用于文件所有权。

    换句话说,这意味着您在对 NFS 共享文件进行操作时不能声称自己是root(因此不能 chown 等),但它不会阻止现有文件看起来像是由 root 拥有的。

    这意味着启用“root_squash”将更早地停止您的计划:它将阻止您将该文件复制到 NFS 服务器。如果您以本地根用户身份执行复制操作,则复制的文件将显示为由“nfsnobody”拥有,因为 NFS 服务器将忽略您的“我是 uid 0”声明。如果您尝试将它“chown”回 root:root,NFS 服务器不会让您这样做,因为只有 root 可以 chown 文件,并且您的连接只有“nfsnobody”权限。

    另一方面,“root_squash”不会阻止您的本地计算机执行实际由 root 拥有的文件。这发生在相反的方向:当您从 NFS 共享运行程序时,它仍然在您的客户端计算机上被读取和执行——而不是在服务器上——因此与之前的情况不同,现在是 NFS客户端相信服务器提供了有关文件所有权或权限的哪些信息,并且“root_squash”不会更改这些信息。

    (因此,如果 /mnt/theserver/bin/su 已经存在,并且 NFS 服务器说它是 setuid-root,那么您的 NFS 客户端计算机将像 setuid-root 一样执行它,而不管 root_squash。为避免这种情况,NFS 客户端将需要使用“nosuid”选项挂载共享。)

    尽管如此,想象一下我能够通过 SSH 连接到与普通用户相同的服务器,具有平均权限,没有 root 或任何东西。如果我在那里执行相同的 executable.sh 文件,它就不会被重新映射,对吧?它将以我假设的 root 用户身份执行。

    如果您实际上能够创建这样的可执行文件,那么可以(但请记住 Ninov 在评论中所说的:setuid 仅适用于二进制可执行文件,并且对于脚本完全被忽略)。

    但是您将无法达到此阶段,因为“root_squash”会阻止您首先创建根拥有的文件。

    另一个小问题:使用 SMB 时是否有类似 root squashing 之类的东西,因为我可以使用 UID 集(chmod u+sx)将文件从我自己的计算机复制到 smb 共享(该文件是由 root 创建的)并执行它那里?

    root_squash 无关紧要,因为 SMB 首先没有基于 UID 的身份验证。SMB 连接纯粹是面向帐户的(即客户端必须提供明确的凭据并且不能仅仅声称是“UID 123”),因此没有可能或需要压缩的隐式 root 访问。

    因此,要么使用每个人的单个帐户安装 SMB 共享(使所有本地用户都被压缩到该远程帐户),要么以每个本地用户必须提供自己的凭据的多用户模式安装共享。

    但正如开头提到的,“root_squash”不会影响文件的外观;如果某些东西已经被 root 拥有,它看起来仍然是 root 拥有的。它是nosuid防止客户端意外执行 setuid 二进制文件的“”选项,它是一个全局 VFS 层选项,适用于 SMB 挂载以及任何其他文件系统类型。

    • 1

相关问题

  • Notify-发送窗口下出现的通知

  • 以 root 身份运行 docker 容器

  • 如何在域和 Linux 活动目录中启用指纹传感器

  • 如何在CentOS 7 中将Ctrl+C 永久更改为Ctrl+K?

  • 如何从 WSL 打开 office 文件

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    如何减少“vmmem”进程的消耗?

    • 11 个回答
  • Marko Smith

    从 Microsoft Stream 下载视频

    • 4 个回答
  • Marko Smith

    Google Chrome DevTools 无法解析 SourceMap:chrome-extension

    • 6 个回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Martin Hope
    Saaru Lindestøkke 为什么使用 Python 的 tar 库时 tar.xz 文件比 macOS tar 小 15 倍? 2021-03-14 09:37:48 +0800 CST
  • Martin Hope
    CiaranWelsh 如何减少“vmmem”进程的消耗? 2020-06-10 02:06:58 +0800 CST
  • Martin Hope
    Jim Windows 10 搜索未加载,显示空白窗口 2020-02-06 03:28:26 +0800 CST
  • Martin Hope
    v15 为什么通过电缆(同轴电缆)的千兆位/秒 Internet 连接不能像光纤一样提供对称速度? 2020-01-25 08:53:31 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve