问题[permissions](unix)

在相对较新且简单的 CoreOS 系统上，尝试运行以下命令：

podman run --rm docker.io/curlimages/curl -v host.containers.internal:2040

结果出现以下错误：

{"msg":"exec container process `/entrypoint.sh`: Permission denied","level":"error","time":"2024-11-22T22:12:56.046889Z"}

我对此完全不知所措。我尝试了以下方法：

• sudo setenforce 0暂时禁用 SELinux，但这并不能改变收到的错误。

• 将标志添加--userns=keep-id到命令中，但这也不会改变结果。

例如：

podman run --userns=keep-id --rm docker.io/curlimages/curl -v host.containers.internal:2040

• 对于其他更复杂的 podman 容器，我尝试设置:z卷挂载标志，但无济于事。

我的系统肯定出了什么问题。我的系统唯一不正常的地方是，出于兼容性原因，我在同一台机器上同时安装了 podman 和 docker，但我的理解是这不应该发生冲突。

如下所示，在我的 Ubuntu 系统上，目录已设置粘滞位权限。它包含用户拥有的carlo文件。file1lab

lab@ubuntu:~$ ll | grep carlo
drwxrwxr-t  2 ubuntu ubuntu  4096 Oct 31 08:09 carlo/

lab@ubuntu:~$ ll /home/ubuntu/carlo/file1 
-rw-rw-r-- 1 lab ubuntu 0 Oct 31 08:09 /home/ubuntu/carlo/file1
lab@ubuntu:~$

如您所见，用户lab拥有file1，但他不能重命名或删除该文件。

lab@ubuntu:~$ mv /home/ubuntu/carlo/file1 /home/ubuntu/carlo/file2
mv: cannot move '/home/ubuntu/carlo/file1' to '/home/ubuntu/carlo/file2': Permission denied

lab@ubuntu:~$ rm /home/ubuntu/carlo/file1
rm: cannot remove '/home/ubuntu/carlo/file1': Permission denied
lab@ubuntu:~$

这是预期的行为吗？

我正在尝试学习 Linux 中的更多安全性，并且很难理解通过 sudo 安装的应用程序与通过 sudo 运行的应用程序的权限和访问权限之间的差异。我对此有几个问题：

1. 使用 sudo 安装应用程序时，这是否会授予应用程序对我的系统执行任何操作的完全权限？或者对此允许的操作有限制吗？
2. 如果使用 sudo 安装应用程序，那么使用/不使用 sudo 命令运行应用程序时，访问/权限是否会有所不同？（例如，sudo pluma）
3. 如果没有使用 sudo 安装程序，那么使用 sudo 命令运行该程序时权限是否会有所不同？

谢谢

有人能解释一下吗？

john@john-pcRefs:~/pCloudDrive/someFolder$ ls -al
total 16
drwxr-xr-x 2 john john  4096 Jan 11  2022 .
drwxr-xr-x 4 john john  4096 Jan 11  2022 ..
-rw-r--r-- 1 john john 10439 Sep 22 18:48 EnvironmentSetup.sh
-rw-r--r-- 1 john john  3370 Mar 25  2023 GitInitialization.sh
-rw-r--r-- 1 john john   342 Jul 10  2023 InitDatabase.sh
john@john-pcRefs:~/pCloudDrive/someFolder$ echo $USER
john
john@john-pcRefs:~/pCloudDrive/someFolder$ sudo chmod +x GitInitialization.sh 
chmod: cannot access 'GitInitialization.sh': Permission denied

如果有帮助的话，我正在使用云驱动器，并且刚刚从 Ubuntu 22 升级到 Ubuntu 24。

当我尝试访问以该用户身份运行的 nginx 工作进程的符号链接时，遇到“权限被拒绝”错误adg。

类似问题：Owner can't read /proc/$pid/io，但略有不同。我的问题是无法访问符号链接，并且 的输出ls -l包含“Permission denied”错误（来自 stderr）和正常结果（来自 stdout）。具体输出如下：

• 打印nginx worker进程及它的fd信息：

root# ps -fp 2728114
UID          PID    PPID  C STIME TTY          TIME CMD
adg      2728114 2723696  0 21:11 ?        00:00:00 nginx: worker process

root# stat /proc/2728114/fd/0
  File: /proc/2728114/fd/0 -> /dev/null
  Size: 64              Blocks: 0          IO Block: 1024   symbolic link
Device: 0,21    Inode: 204114580   Links: 1
Access: (0700/lrwx------)  Uid: (  948/     adg)   Gid: (  948/     adg)

• ls -l与adg用户和用户一起执行root：

root# sudo -uadg ls -l /proc/2728114/fd/0
ls: cannot read symbolic link '/proc/2728114/fd/0': Permission denied
lrwx------ 1 adg adg 64 Aug 20 21:12 /proc/2728114/fd/0

root# sudo -uadg -gadg /bin/sh -c 'ls -l /proc/2728114/fd/0'
ls: cannot read symbolic link '/proc/2728114/fd/0': Permission denied
lrwx------ 1 adg adg 64 Aug 20 21:12 /proc/2728114/fd/0

root# ls -l /proc/2728114/fd/0
lrwx------ 1 adg adg 64 Aug 20 21:12 /proc/2728114/fd/0 -> /dev/null

• 检查用户和组：

root# grep adg /etc/passwd
adg:x:948:948::/home/adg:/sbin/nologin

root# id -nu 948; id -ng 948
adg
adg

• 检查状态selinux

root# sestatus
SELinux status:                 disabled

root用户可以正常访问 fd，但所有者不能，有人可以帮助我解决这个问题吗？

我在 Mint 21.3 系统上创建了两个用户：

• user1（1000）是在安装过程中创建的
• user2（1001）我后来补充道

两者的主目录都在 中/home，且权限完全相同drwxr-x---。两者都未加密。

问题是，我尝试过的所有作为实时 USB 驱动器的发行版（Ubuntu 和版本、Mint、Fedora 和 spins）都不允许我访问/home/user2。大多数但不是全部都允许/home/user1。用户之间的唯一区别是user1是管理员，而user2不是。

我的问题：为什么会发生这种情况？

我希望我组中的其他用户能够访问我的文件空间中的特定文件夹（及其子文件夹），但不能访问我的其余文件。

[原因是我想要编译一个经过检测的应用程序来使用 gcov 进行代码覆盖；各种 .gcno 文件被写入我的构建目录，我希望我的同事在运行他们的测试时，既能访问这些文件，又能生成与它们一起放置的 .gcda 文件。]

无论如何，我天真地以为我可以这样做：

chmod g+w -fR build_directory

...果然，这会导致 build 目录及其所有子目录的权限为 drwxrwxr-x。其所有文件的权限为 -rw-rw-r--。即便如此，我小组的同事报告说，即使尝试执行

ls -l <full path to build_directory>

返回“无法访问：没有此文件或目录”。

我错过了什么？

以下命令起什么作用？ sudo chmod -R a=,a+rX,u+w,g+w /data

我知道它会改变权限，但究竟改变什么、如何改变呢？

为什么设置umask为会导致安装包0077时gpg 公钥不可用，例如。apt

umask 0077
curl -fsSLo /usr/share/keyrings/brave-browser-beta-archive-keyring.gpg https://brave-browser-apt-beta.s3.brave.com/brave-browser-beta-archive-keyring.gpg
  echo "deb [signed-by=/usr/share/keyrings/brave-browser-beta-archive-keyring.gpg] https://brave-browser-apt-beta.s3.brave.com/ stable main">/etc/apt/sources.list.d/brave-browser-beta.list
apt update
apt install brave-browser-beta
  

上述操作不起作用，我得到了这个输出：

Err:4 https://brave-browser-apt-beta.s3.brave.com stable InRelease    
  The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 0B31DBA06A8A26F9
Reading package lists... Done
W: GPG error: https://brave-browser-apt-beta.s3.brave.com stable InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 0B31DBA06A8A26F9
E: The repository 'https://brave-browser-apt-beta.s3.brave.com stable InRelease' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.

这确实有效：

umask 0022
curl -fsSLo /usr/share/keyrings/brave-browser-beta-archive-keyring.gpg https://brave-browser-apt-beta.s3.brave.com/brave-browser-beta-archive-keyring.gpg
  echo "deb [signed-by=/usr/share/keyrings/brave-browser-beta-archive-keyring.gpg] https://brave-browser-apt-beta.s3.brave.com/ stable main">/etc/apt/sources.list.d/brave-browser-beta.list
apt update
apt install brave-browser-beta

为什么设置umask为0077(然后下载公钥) 会导致 apt 无法使用 gpg 公钥？密钥是作为 下载的root，因此被执行apt update，那么为什么会出现这个问题？

我在 /mnt/ 下有一个具有drwxrwxrwx权限的文件夹，在 root:root 下

然后我将 USB 驱动器 (exFAT) 安装到此文件夹，它变成了drwxr-xr-x

问题是现在我无法通过 WinSCP scp 到该文件夹​​，因为组没有写入文件夹的权限，并且我无法以 root 用户身份 scp 。

我通过 fstab 使用以下命令安装驱动器：

/dev/sdb2       /mnt/USB    exfat   defaults,dmask=0000,umask=0000,rw       0       0

我该如何：1）授予组写入权限或2）将其安装为非root用户以便该用户可以写入？

我尝试过 chown 和 chmod 但没有成功。即使以 root 身份运行也会返回“ Operation not allowed”

在 SSH 中（例如 mkdir），我能够以 root 用户身份写入挂载，因此挂载是可写的，但只能由 root 写入。