Início / unix / Perguntas / 441434
Accepted
Rich
Asked: 2018-05-03 17:51:54 +0800 CST

Por que um arquivo com 400 permissões é gravável pelo root, mas somente leitura pelo usuário?

  • 772

Se eu criar um arquivo como um usuário sem privilégios e alterar o modo de permissão para 400, ele será visto por esse usuário como somente leitura, corretamente:

$ touch somefile
$ chmod 400 somefile
$ [ -w somefile ] && echo rw || echo ro
ro

Tudo está bem.

Mas então o root aparece:

# [ -w somefile ] && echo rw || echo ro
rw

Que diabos? Claro, o root pode gravar em arquivos somente leitura, mas não deve tornar isso um hábito: as melhores práticas tenderiam a ditar que eu deveria ser capaz de testar o bit de permissão de gravação e, se não for, então foi definido assim por uma razão.

Acho que quero entender por que isso está acontecendo e como posso obter um código de retorno falso ao testar um arquivo que não possui o bit de gravação definido?

permissions test

3 respostas

  1. Eu acho que você entendeu mal o que -wfaz. Ele não verifica se o arquivo tem "permissões de gravação", ele verifica se o arquivo é gravável pelo usuário que o invocou .

    Mais especificamente, chama access(2)ou similar.

    por exemplo, se um script tiver if [ -w /etc/shadow ], se você executar straceo script, poderá ver uma linha semelhante a

    faccessat(AT_FDCWD, "/etc/shadow", W_OK)

    Como rootpode gravar no arquivo, ele retorna 0.

    por exemplo, como um usuário normal:

    faccessat(AT_FDCWD, "/etc/shadow", W_OK) = -1 EACCES (Permission denied)

    como raiz

    faccessat(AT_FDCWD, "/etc/shadow", W_OK) = 0

    Isso, apesar de /etc/shadowter permissão 000na minha máquina.

    ---------- 1 root root 4599 Jan 29 20:08 /etc/shadow

    Agora o que você quer fazer fica interessante e não é tão simples.

    Se você quiser verificar as permissões simples, verifique a lssaída, ou chame statou similar. Mas perceba que as ACLs podem substituir essas permissões. Só porque um arquivo tem permissão 400 não o impede de ser gravável...

    • 31
  2. Best Answer

    test -waka [ -wnão verifica o modo de arquivo. Ele verifica se é gravável. Para raiz, é. 

    $ help test | grep '\-w'
  -w FILE        True if the file is writable by you.

    A maneira que eu testaria seria fazer uma comparação bit a bit com a saída de stat(1)(" %a Direitos de acesso em octal").

    (( 0$(stat -c %a somefile) & 0200 )) && echo rw || echo ro

    Observe que o subshell $(...)precisa de um 0prefixo para que a saída de statseja interpretada como octal por (( ... )).

    • 27

  3. O usuário root pode fazer o que quiser, as permissões de arquivo "normais" não são uma limitação. Ele não executará diretamente um arquivo simples sem nenhuma permissão de eXecute, apenas para um pouco de segurança contra a prática de tiro ao alvo.

    • 2

relate perguntas