Início / unix / Perguntas / 726387
Accepted
Damn Vegetables
Asked: 2022-11-27 08:59:33 +0800 CST

Por que um usuário não deveria cd para um diretório usando o caminho absoluto sem rx para todos os seus ancestrais?

  • 772

No Windows, parece que se o usuário tiver permissão de leitura/gravação para o lev5diretório, mas nenhuma permissão para todos os seus ancestrais, cd c:\lev1\lev2\lev3\lev4\lev5ainda funcionará.

No Linux, mesmo que eu dê ao usuário permissão total lev5e rxpermissão para lev4usar setfacl, se ele também não tiver rxpermissões para lev1/ lev2/ lev3, cd /lev1/lev2/lev3/lev4/lev5não funciona.

Não há como fazê-lo funcionar como o Windows?

Uma coisa que notei é que se o shell do usuário começar em /lev1/lev2/lev3/lev4/(o usuário sudo estava em /lev1/lev2/lev3/lev4/, e mudar para o usuário usando sudo -ulá, o usuário pode cd ./lev5. Por um momento, me perguntei se esse é um recurso de segurança para ocultar a existência de diretórios ancestrais como lev1ou lev2do usuário (ou seja, o usuário só sabe lev5que existe sob lev4e nada mais), mas não parece ser o caso porque executar pwdno shell do usuário fornece o caminho completo /lev1/lev2/lev3/lev4/lev5, então não vejo sentido em impedir o usuário de usar caminho completo cd.

permissions

1 respostas

  1. Best Answer

    Existem essencialmente duas maneiras de olhar para algo como /lev1/lev2/lev3/lev4/lev5, como uma única coisa ou como uma sequência /, lev1, lev2, lev3, lev4, lev5. Se você fizer o primeiro, de fato não há razão para não exigir acesso ao objeto. No entanto, visualizá-lo como uma sequência e resolvê-lo passo a passo permite que você faça coisas mais sofisticadas. Por exemplo, resolver um nome pode levá-lo a algum armazenamento de rede. Não é razoável esperar que o sistema operacional em uma máquina conheça os detalhes de cada dispositivo de armazenamento de rede que pode ser conectado para que possa decidir se você tem direitos sobre o objeto final.

    O uso pwdpode ser enganoso. Frequentemente é um built-in para o shell e é inicializado a partir de uma PWDvariável de ambiente. Antigamente, /bin/pwdtrabalhava mudando para ..e depois procurando no diretório atual por algo que correspondesse ao local onde estava. Ele repetiu isso até chegar a /. Com essa abordagem, se você removeu o acesso em algum diretório pai, poderá obter falhas de /bin/pwd. Hoje em dia, no Linux, o kernel rastreia onde você está e tudo o /bin/pwdque faz é chamar a getcwdchamada do sistema.

    • 0

relate perguntas