根压缩意味着当我尝试访问已启用它的目录时,我将无法使用我的根权限,因为它将被重新映射到 nfsnobody 用户或指定的任何用户。我想知道以下内容;如果我以 root 身份在我自己的计算机上创建一个可执行文件,并设置 ( chmod u+sx) executable.sh 的 UID,然后将该文件复制到 NFS 服务器,我仍然无法以 root 身份执行,因为它将被重新映射给 nfsnobody 用户。尽管如此,想象一下我能够通过 SSH 连接到与普通用户相同的服务器,具有平均权限,没有 root 或任何东西。如果我在那里执行相同的 executable.sh 文件,它就不会被重新映射,对吧?它将以我假设的 root 用户身份执行。
我的假设是否正确,如果不是,一些澄清将非常有用!
另一个小问题:使用 SMB 时是否有类似 root squashing 之类的东西,因为我可以使用 UID 集 () 将文件从我自己的计算机复制到 smb 共享(该文件是由 root 创建的chmod u+sx)并在那里执行它?
祝你有美好的一天!
听起来您假设“root_squash”适用于服务器报告的信息,但不适用于客户端身份。但实际上恰恰相反:“root_squash”仅适用于用户凭据(即谁在执行操作),而不适用于文件所有权。
换句话说,这意味着您在对 NFS 共享文件进行操作时不能声称自己是root(因此不能 chown 等),但它不会阻止现有文件看起来像是由 root 拥有的。
这意味着启用“root_squash”将更早地停止您的计划:它将阻止您将该文件复制到 NFS 服务器。如果您以本地根用户身份执行复制操作,则复制的文件将显示为由“nfsnobody”拥有,因为 NFS 服务器将忽略您的“我是 uid 0”声明。如果您尝试将它“chown”回 root:root,NFS 服务器不会让您这样做,因为只有 root 可以 chown 文件,并且您的连接只有“nfsnobody”权限。
另一方面,“root_squash”不会阻止您的本地计算机执行实际由 root 拥有的文件。这发生在相反的方向:当您从 NFS 共享运行程序时,它仍然在您的客户端计算机上被读取和执行——而不是在服务器上——因此与之前的情况不同,现在是 NFS客户端相信服务器提供了有关文件所有权或权限的哪些信息,并且“root_squash”不会更改这些信息。
(因此,如果 /mnt/theserver/bin/su 已经存在,并且 NFS 服务器说它是 setuid-root,那么您的 NFS 客户端计算机将像 setuid-root 一样执行它,而不管 root_squash。为避免这种情况,NFS 客户端将需要使用“nosuid”选项挂载共享。)
如果您实际上能够创建这样的可执行文件,那么可以(但请记住 Ninov 在评论中所说的:setuid 仅适用于二进制可执行文件,并且对于脚本完全被忽略)。
但是您将无法达到此阶段,因为“root_squash”会阻止您首先创建根拥有的文件。
root_squash 无关紧要,因为 SMB 首先没有基于 UID 的身份验证。SMB 连接纯粹是面向帐户的(即客户端必须提供明确的凭据并且不能仅仅声称是“UID 123”),因此没有可能或需要压缩的隐式 root 访问。
因此,要么使用每个人的单个帐户安装 SMB 共享(使所有本地用户都被压缩到该远程帐户),要么以每个本地用户必须提供自己的凭据的多用户模式安装共享。
但正如开头提到的,“root_squash”不会影响文件的外观;如果某些东西已经被 root 拥有,它看起来仍然是 root 拥有的。它是
nosuid防止客户端意外执行 setuid 二进制文件的“”选项,它是一个全局 VFS 层选项,适用于 SMB 挂载以及任何其他文件系统类型。