Início / computer / Perguntas / 1716677
Accepted
Solenoid
Asked: 2022-04-18 01:27:59 +0800 CST

As permissões dependem de onde o comando é executado

  • 772

Eu encontrei um comportamento muito estranho que não sei como resolver: as permissões de ação dependem de onde o comando é executado.

Minha situação: configurei um servidor Nextcloud em um Raspberry Pi 4. O sistema funciona a partir de um cartão SD e a instância Nextcloud está em um SSD, executado via Docker (usando IOTstack). No que diz respeito ao Nextcloud, tudo funciona como esperado.

Quando quero listar o conteúdo da instância Nextcloud, posso usar a conta root como tal:

sudo ls -lh /media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files
total 4.0K
drwxr-xr-x  3 www-data www-data 4K Nov  3 11:09  Documents

Claro, isso funciona por causa do root. Quando tento a conta normal pi, recebo o seguinte:

ls -lh /media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files
ls: cannot access '/media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files': Permission denied

Isso porque tudo pertence a www-data, então eu tento como www-datae recebo:

sudo -u www-data ls -lh /media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files
ls: cannot access '/media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files': Permission denied

Isso não é normal... Eu deveria conseguir ver os arquivos do usuário ao qual eles pertencem.

Tentei cdno SSD montado ( storage) e executei o comando novamente:

cd /media/pi/storage/
sudo -u www-data ls -lh ./IOTstack/volumes/nextcloud/html/data/solenoid/files
total 4.0K
drwxr-xr-x  3 www-data www-data 4K Nov  3 11:09  Documents

Por quê? Como as permissões dependem de onde o lscomando é executado? Por que posso listar os arquivos de /media/pi/storagee não de /home/pi, como www-datausuário? Deveria www-dataestar no pigrupo?

Anteriormente eu tinha os dados armazenados no cartão SD, em /home/pi/IOTstack..., mas queria armazenar meus arquivos em um local mais seguro, mantendo a opção de trocar o hardware. Eu não encontrei este problema.

A razão para acessar arquivos dessa maneira "bruta" é fazer backup deles pela rede para outra mídia de armazenamento.

Editar

Respondendo @kamil-maciorowski

namei -nom /media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files
f: /media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files
 drwxr-xr-x root     root /
 drwxr-xr-x root     root media
 drwxr-x--- pi       pi   pi
 drwxr-xr-x pi       pi   storage
 drwxr-xr-x pi       pi   IOTstack
 drwxr-xr-x pi       pi   volumes
 drwxr-xr-x pi       pi   nextcloud
 drwxrwx--- www-data root html
                          data - Permission denied
permissions external-drive

1 respostas

  1. Best Answer

    Links Úteis:

    Quando você faz

    ls -lh /media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files

    como pi, o nome do caminho é resolvido, /, media, pi, storage, IOTstack, volumese nextcloudpode ser acessado. Em seguida, o procedimento chega ao htmlcomponente. A propriedade e o modo de htmlsão www-data:roote drwxrwx---respectivamente. Quando você está pi(que não está www-datanem no rootgrupo), o último trio se aplica , é ---. Isso significa que você não pode acessar htmle dataoutros componentes de nome de caminho.

    Quando você faz

    ls -lh /media/pi/storage/IOTstack/volumes/nextcloud/html/data/solenoid/files

    as www-data, o nome do caminho é resolvido / e mediapode ser acessado. Em seguida, o procedimento chega ao picomponente. A propriedade e o modo de pisão pi:pie rwxr-x---respectivamente. Quando você está www-data(que não está pinem no pigrupo), o último trio se aplica, é ---. Isso significa que você não pode acessar pie storageoutros componentes de nome de caminho.

    Você disse "isso não é normal", mas o mecanismo de negação de acesso é o mesmo da primeira tentativa; a única diferença é que o componente pathname é o culpado: htmlou pi. Ambos os casos são igualmente normais.

    Quando você cd /media/pi/storage/como pi, você pode fazer isso porque os modos de todos os diretórios relevantes permitem.

    Quando você então corre

    ls -lh ./IOTstack/volumes/nextcloud/html/data/solenoid/files

    as www-data, o modo de /media/pié irrelevante porque a resolução do nome do caminho começa em .: ., IOTstacke volumesassim por diante. Acontece que www-datapode acessar todos esses arquivos e, assim, lsfunciona.

    Em outras palavras cd, executado como picoloca você sob o próprio componente www-datanão pode acessar. Então pise torna www-datagraças a sudo, mas o diretório de trabalho não muda. O caminho dado para lscomeça de ., não de /, agora pode ser resolvido e acessado. Observe que se você usou o caminho completo (ou seja, começando de /, como nas tentativas anteriores), ele ainda não pôde ser acessado, independentemente do diretório de trabalho atual.

    • 0

relate perguntas