Início / unix / Perguntas / 774302
Accepted
xpt
Asked: 2024-04-11 06:49:48 +0800 CST

chown não pode desreferenciar, permissão negada

  • 772

Dado,

touch /tmp/abc
ln -vs abc /tmp/def

$ ls -l /tmp/???
-rw-rw-r-- 1 ubuntu ubuntu 0 Apr 10 22:10 /tmp/abc
lrwxrwxrwx 1 ubuntu ubuntu 3 Apr 10 22:10 /tmp/def -> abc

Por que estou recebendo:

$ sudo chown syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied

$ sudo chown --dereference syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied

Ref:
chown (1) :

--dereference

    afeta o referente de cada link simbólico (este é o padrão), em vez do link simbólico em si

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.6 LTS
Release:        20.04
Codename:       focal
linux

1 respostas

  1. Best Answer

    Esta resposta supõe que isso esteja em vigor:

    # sysctl fs.protected_symlinks 
fs.protected_symlinks = 1

    O usuário root (que o seguinte recurso de segurança foi especialmente destinado a afetar), como qualquer outro usuário, é afetado pelo sysctl fs.protected_symlinksdescrito em proc(5):

    /proc/sys/fs/protected_symlinks(desde Linux 3.6)

    Quando o valor neste arquivo é 0, nenhuma restrição é colocada ao seguir links simbólicos (isto é, este é o comportamento histórico antes do Linux 3.6). Quando o valor neste arquivo é 1, os links simbólicos são seguidos apenas nas seguintes circunstâncias:

    • o UID do sistema de arquivos do processo que segue o link corresponde ao proprietário (UID) do link simbólico (conforme descrito em credenciais(7), o UID do sistema de arquivos de um processo é normalmente o mesmo que seu UID efetivo);

    • o link não está em um diretório gravável mundialmente; ou

    • o link simbólico e seu diretório pai têm o mesmo proprietário (UID)

    Uma chamada de sistema que não segue um link simbólico devido às restrições acima retorna o erro EACCES in errno.

    Aqui:

    • raiz! = Ubuntu: falha
    • /tmpé um diretório gravável mundialmente: fail
    • O proprietário de def (ubuntu) não é o mesmo que /tmpo proprietário de (root): falha

    portanto EACCESS= Permissão negada

    Aqui estão dois outros casos que funcionariam:

    • evitar que a primeira condição falhe

      sudo chown --no-dereference root: /tmp/def # this must be root, not syslog

      Agora que o link simbólico pertence ao root, a 1ª condição não falhará, permitindo a execução:

       sudo chown syslog: /tmp/def

      Para afetar com sucesso /tmp/abc.

      Se assim for pretendido, defpode ser alterado de volta para o seu proprietário anterior ou syslogtambém para:

      sudo chown --no-dereference ubuntu: /tmp/def

      ou

      sudo chown --no-dereference syslog: /tmp/def

    • Evitar que a segunda condição falhe

      Faça o mesmo experimento em um diretório não fixo (mesmo que seja gravável mundialmente):

      sudo mkdir -m 777 /tmp/notsticky
sudo mv /tmp/abc /tmp/def /tmp/notsticky/.

      O que agora permite executar:

      sudo chown syslog: /tmp/notsticky/def

      Eles podem ser movidos de volta se essa for a intenção:

      sudo mv /tmp/notsticky/abc /tmp/notsticky/def /tmp/
sudo rmdir /tmp/notsticky

    Além disso, conforme sugerido no comentário , é possível evitar novamente a falha da primeira condição fazendo a pesquisa no ubuntuusuário original, uma vez que ele já é o proprietário do link simbólico. Por exemplo usando:

    realpath -z /tmp/def | xargs -0 sudo chown syslog:

    ou se não houver nenhum caractere especial, como Line Feed (LF / \n) no final do nome do arquivo de destino (que seria removido pelo interpretador Shell), como no caso do OP, simplesmente:

    sudo chown syslog: "$(realpath /tmp/def)"
    • 3

relate perguntas