Perguntas[permissions](computer)

Estou tendo problemas para conceder acesso de alguns diretórios a um contêiner específico que são acessíveis por alguns grupos gerenciados externamente (LDAP).

Ao usar podman run, posso usar a --groups-add keep-groupsopção. Outra opção, conforme explicado aqui , é usar--annotation run.oci.keep_original_groups=1

O problema é que eu quero usar podman compose upem vez disso por conveniência.

Como alguns grupos são externos, não consigo montar o /etc/group.

Tentei diferentes variações modificando o docker-compose.ymlwith group_adds(o que me permite adicionar certos grupos ao usuário, mas eles não são reconhecidos pelo host e se eu criar esse grupo no Dockerfile com o mesmo GID do host do grupo, ele ainda se comporta como um novo grupo), bem como usar podman compose --pod-args="..."which retorna um sinalizador desconhecido --group-addou --annotation.

Migrei uma aplicação CodeIgniter 3 de um servidor Apache para Nginx. Para usuários logados, deverá ser possível baixar alguns arquivos PDF. Preciso bloquear o acesso diretamente a essas pastas. Por exemplo: exemplo.com.br/files/xyz.pdf. Se eu acessar o navegador sem fazer login, consigo acessar esses arquivos. Se eu colocar:

location /(versoes|lgpd)/ {
 deny all;
 return 403;
}

Não funciona. O acesso permanece disponível.

Pergunta: Preciso bloquear o acesso externo, porém permitir que usuários logados possam fazer download.

Eu queria configurar as permissões do grupo no Linux, para que os membros pudessem acessar o grupo no Windows. Eu codifiquei no archlinux e ficou assim:

[test]
  path = /srv/smbtest/test
  valid users = @fibu
  read list = @fibu
  write list = @fibu
  public = no
  available = yes
  guest ok = no
  browseable = yes
  create mask = 0664
  directory mask = 0775
  force group = fibu
  force user = manoca

Anteriormente, dois usuários de teste foram adicionados ao grupo fibu para verificar se funcionava ou não. Quando tento fazer login no Windows na pasta de teste com credenciais que configurei para esses dois membros de teste que adicionei, recebo a próxima mensagem de erro:

\\datastorevm\test is not accesible. You might not have a permission to use this network resource. Contact the administrator of this server to find out if you have access permissions. 

Multiple connections to a server or shared resource by the same user, using more than one user name is not allowed. Disconnect all previous connections to the server or shared resource and try again. 

Alguém encontrou problema semelhante? Como resolver isso?

Desde já, obrigado! :)

Ao usar Ntrights.exepara conceder permissão a um privilégio, não vejo nenhuma capacidade de ativar esses privilégios. Isso deveria ser automático?

Exemplo:

ntrights.exe +r SeShutdownPrivilege -u %username%adicionarei esse privilégio ao meu usuário, mas quando verifico o estado usando whoami /privainda mostro o "Estado" como Desativado.

Existe uma sysinternalsopção ou algo nesse sentido que também ATIVARÁ as permissões de um usuário?

Estou tendo dificuldades para configurar o OpenLDAP com sobreposição MemberOf. Compilei o openldap 2.5.16 do zero, com --with-memberofopção. De alguma forma funciona:

sys# sbin/slapcat -F config/slapd.d -n 0
dn: olcDatabase={1}mdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {1}mdb
olcSuffix: dc=contoso,dc=com
olcAccess: {0}to attrs=userPassword  by anonymous auth  by self write  by * none
olcAccess: {1}to *  by dn.base="cn=admin,dc=contoso,dc=com" write  by self write  by * none
olcAddContentAcl: FALSE
olcLastMod: TRUE
olcLastBind: FALSE
olcMaxDerefDepth: 15
olcReadOnly: FALSE
olcRootDN: cn=admin,dc=contoso,dc=com
olcRootPW:: LKSkwema9kajkw32==

Agora, pelo que entendi, preciso carregar memberofa sobreposição no banco de dados:

sys# cat add_memberoff.ldif
dn: olcOverlay=memberof,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcMemberOf
olcOverlay: memberof
olcMemberOfRefint: TRUE

Eu estou tentando:

bin/ldapadd -x -D "cn=admin,dc=contoso,dc=com" -W -f add_memberoff.ldif

E eu consegui:

adding new entry "olcOverlay=memberof,olcDatabase={1}mdb,cn=config"
ldap_add: Insufficient access (50)

Nos registros:

65dca351.151db256 0x7eff2ffff6c0 conn=1028 fd=14 ACCEPT from IP=127.0.0.1:38524 (IP=0.0.0.0:389)
65dca351.151e9d47 0x7eff34c016c0 conn=1028 op=0 BIND dn="cn=admin,dc=contoso,dc=com" method=128
65dca351.1520796e 0x7eff34c016c0 conn=1028 op=0 BIND dn="cn=admin,dc=contoso,dc=com" mech=SIMPLE bind_ssf=0 ssf=0
65dca351.15219d56 0x7eff34c016c0 conn=1028 op=0 RESULT tag=97 err=0 qtime=0.000009 etime=0.000216 text=
65dca351.1523bd83 0x7eff2ffff6c0 conn=1028 op=1 ADD dn="olcOverlay=memberof,olcDatabase={1}mdb,cn=config"
65dca351.1524555d 0x7eff2ffff6c0 => access_allowed: add access to "olcOverlay=memberof,olcDatabase={1}mdb,cn=config" "entry" requested
65dca351.152486ca 0x7eff2ffff6c0 => acl_get: [1] attr entry
65dca351.1524a3c8 0x7eff2ffff6c0 => acl_mask: access to entry "olcOverlay=memberof,olcDatabase={1}mdb,cn=config", attr "entry" requested
65dca351.1524b9ef 0x7eff2ffff6c0 => acl_mask: to all values by "cn=admin,dc=contoso,dc=com", (=0)
65dca351.1524d378 0x7eff2ffff6c0 <= check a_dn_pat: *
65dca351.1524f2cf 0x7eff2ffff6c0 <= acl_mask: [1] applying none(=0) (stop)
65dca351.15250d85 0x7eff2ffff6c0 <= acl_mask: [1] mask: none(=0)
65dca351.1525270d 0x7eff2ffff6c0 => slap_access_allowed: add access denied by none(=0)
65dca351.15253c3d 0x7eff2ffff6c0 => access_allowed: no more rules
65dca351.15258f10 0x7eff2ffff6c0 conn=1028 op=1 RESULT tag=105 err=50 qtime=0.000009 etime=0.000137 text=
65dca351.1526fba1 0x7eff34c016c0 conn=1028 op=2 UNBIND
65dca351.152a5b85 0x7eff34c016c0 conn=1028 fd=14 closed

O que estou perdendo aqui?

Segui o tutorial a seguir para isolar meus dois sites.
https://www.vultr.com/docs/use-php-fpm-pools-to-secure-multiple-web-sites/

Aqui está o que eu fiz:

1. Criou dois usuários e atribuiu permissões a eles.

   $ sudo useradd site1  
   $ sudo useradd site2  
   $ usermod -a -G site1 www-data  
   $ usermod -a -G site2 www-data  
   

2. Permissões de diretório atribuídas

   $ sudo mkdir /var/www/site1  
   $ sudo chown -R site1:site1 /var/www/site1  
   $ sudo mkdir /var/www/site2  
   $ sudo chown -R site2:site2 /var/www/site2  
   $ sudo chmod 770 /var/www/site2  
   

3. Criou dois pools de fpm

   $ sudo cp /etc/php/7.4/fpm/pool.d/www.conf /etc/php/7.4/fpm/pool.d/fpm-site1.conf  
   $ sudo cp /etc/php/7.4/fpm/pool.d/www.conf /etc/php/7.4/fpm/pool.d/fpm-site2.conf 
   

4. Em seguida, configurei esses pools

   • Alterada a linha superior entre colchetes que define o nome do pool de [www] para [site1].
   • Alterada a linha user = www-data para user = site1.
   • Alterada a linha group = www-data para group = site1.
   • Alterada a linha listen = /var/run/php/php7.4-fpm.sock para listen = /var/run/php/php7.4- site1-fpm.sock

   Fiz o mesmo para o segundo pool.

5. Configurei o nginx e defini esses pools em cada site

   location ~ \.php$ {  
       fastcgi_pass unix:/var/run/php/php7.4-fpm-site1.sock;  
       include snippets/fastcgi-php.conf;  
   }
   

   Fiz o mesmo para o site2 e reiniciei o php-fpm e o nginx.

Agora chegando ao problema. Todas as páginas PHP do primeiro site são de propriedade de site1:site1enquanto o segundo site é de propriedade de site2:site2. Exceto uma página do segundo site que pertence a site1:site1. Eu esperava que quando tentasse acessar aquela página do segundo site no navegador, receberia algum erro (porque não é de propriedade de site2:site2), mas não recebi nenhum erro e a página abriu normalmente. Você acha que está funcionando corretamente e meu entendimento de como deveria funcionar está incorreto? Ou aquela página do segundo site não deveria ter aberto no navegador?

Mesmo quando estou logado como usuário root em meu servidor Ubuntu22.04 remoto através do WinScp6.1.2, recebo este erro quando salvo um arquivo alterado (mesmo descobrindo que as alterações feitas por mim são salvas nesse arquivo, mas esses erros irritam):

O conteúdo do erro (também mostrado parcialmente na captura de tela anexada) é:

General failure (server should provide error description).
Error code: 4
Error message from server: Failure

Common reasons for the Error code 4 are:
- Renaming a file to a name of already existing file.
- Creating a directory that already exists.
- Moving a remote file to a different filesystem (HDD).
- Uploading a file to a full filesystem (HDD).
- Exceeding a user disk quota.

Não consegui encontrar a opção 'Mover arquivos para a Lixeira' nas configurações do WinScp.

Quero conceder aos usuários não administradores o privilégio de iniciar/parar/verificar VMs específicas.

O cmdlet Grant-VMConnectAccess deve fazer o trabalho. Também adicionei o usuário ao grupo Usuários de gerenciamento remoto .

Mas ao tentar conectar-se à VM, recebo uma exceção .NET no log de eventos do Windows:

Application: vmconnect.exe
Framework Version: v4.0.30319
Description: The process was terminated due to an unhandled exception.
Exception Info: Microsoft.Management.Infrastructure.CimException
   at Microsoft.Management.Infrastructure.Internal.Operations.CimSyncEnumeratorBase`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].MoveNext()
   at System.Linq.Enumerable+WhereSelectEnumerableIterator`2[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089],[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].MoveNext()
   at Microsoft.Virtualization.Client.Management.Server.LoadOSInfo()
   at Microsoft.Virtualization.Client.ConnectionHelper.ConnectServer(Microsoft.Virtualization.Client.InformationDisplayer, System.String, Boolean, Microsoft.Virtualization.Client.Common.IUserPassCredential)
   at Microsoft.Virtualization.Client.ConnectionHelper.TryGetVirtualMachinesInternal(System.String, Microsoft.Virtualization.Client.Common.WindowsCredential, Mode, System.String, System.Guid, Microsoft.Virtualization.Client.Management.IVMComputerSystem ByRef, System.Collections.Generic.List`1<System.String> ByRef, System.Exception ByRef)
   at Microsoft.Virtualization.Client.ConnectionHelper.TryGetVirtualMachine(System.String, Microsoft.Virtualization.Client.Common.WindowsCredential, System.String, Microsoft.Virtualization.Client.Management.IVMComputerSystem ByRef, System.Exception ByRef)
   at Microsoft.Virtualization.Client.InteractiveSession.CommandLineParser.TryParse(System.String[], Microsoft.Virtualization.Client.InteractiveSession.RdpConnectionInfo ByRef)
   at Microsoft.Virtualization.Client.InteractiveSession.VmisApplicationContext.TryParseCommandLine(System.String[])
   at Microsoft.Virtualization.Client.InteractiveSession.Program.Main(System.String[])

vmconnect.exe só funcionou se eu também colocasse o usuário no grupo Administradores ou Administradores do Hyper-V . Mas isso dá ao usuário acesso total a todas as VMs.

Atualização : quero que funcione no Microsoft Hyper-V Server 10.0.17763 Build 17763. Mas também não consegui fazê-lo funcionar no Microsoft Windows Server 2019 Standard 10.0.17763 Build 17763

Eu tentei dar a um diretório permissões de leitura e gravação sem execução, mas parece que, sem permissões de execução, leitura e gravação não permitem que você faça nada.

Instalei o BBEdit (versão 14.6.1 (14D24, Intel de 64 bits, sandboxed)) no MacOS 13 (Ventura). Nas configurações do aplicativo, permiti o "Acesso à sandbox" - no entanto, mudei de ideia, querendo ser solicitado pelas pastas por enquanto. (Sei que posso voltar mais tarde para habilitar o recurso "Sandbox Access".)

No entanto, agora não consigo encontrar uma maneira de desativar o recurso Sandbox Access.

Não há um botão "não permitir" na página Configurações do aplicativo e clicar no botão Restaurar padrões nessa página não teve efeito no acesso à área restrita.

Tentei desinstalar/reinstalar o BBEdit; no entanto, após a reinstalação, o Sandbox Access permanece "permitido".

Ao pesquisar, encontrei informações sobre o motivo pelo qual o BBEdit deseja esse acesso; no entanto, nada sobre desativá-lo.

O que preciso fazer para remover/desativar a permissão Sandbox Access?