问题[permissions](unix)

如下所示，在我的 Ubuntu 系统上，目录已设置粘滞位权限。它包含用户拥有的carlo文件。file1lab

lab@ubuntu:~$ ll | grep carlo
drwxrwxr-t  2 ubuntu ubuntu  4096 Oct 31 08:09 carlo/

lab@ubuntu:~$ ll /home/ubuntu/carlo/file1 
-rw-rw-r-- 1 lab ubuntu 0 Oct 31 08:09 /home/ubuntu/carlo/file1
lab@ubuntu:~$

如您所见，用户lab拥有file1，但他不能重命名或删除该文件。

lab@ubuntu:~$ mv /home/ubuntu/carlo/file1 /home/ubuntu/carlo/file2
mv: cannot move '/home/ubuntu/carlo/file1' to '/home/ubuntu/carlo/file2': Permission denied

lab@ubuntu:~$ rm /home/ubuntu/carlo/file1
rm: cannot remove '/home/ubuntu/carlo/file1': Permission denied
lab@ubuntu:~$

这是预期的行为吗？

我正在尝试学习 Linux 中的更多安全性，并且很难理解通过 sudo 安装的应用程序与通过 sudo 运行的应用程序的权限和访问权限之间的差异。我对此有几个问题：

1. 使用 sudo 安装应用程序时，这是否会授予应用程序对我的系统执行任何操作的完全权限？或者对此允许的操作有限制吗？
2. 如果使用 sudo 安装应用程序，那么使用/不使用 sudo 命令运行应用程序时，访问/权限是否会有所不同？（例如，sudo pluma）
3. 如果没有使用 sudo 安装程序，那么使用 sudo 命令运行该程序时权限是否会有所不同？

谢谢

有人能解释一下吗？

john@john-pcRefs:~/pCloudDrive/someFolder$ ls -al
total 16
drwxr-xr-x 2 john john  4096 Jan 11  2022 .
drwxr-xr-x 4 john john  4096 Jan 11  2022 ..
-rw-r--r-- 1 john john 10439 Sep 22 18:48 EnvironmentSetup.sh
-rw-r--r-- 1 john john  3370 Mar 25  2023 GitInitialization.sh
-rw-r--r-- 1 john john   342 Jul 10  2023 InitDatabase.sh
john@john-pcRefs:~/pCloudDrive/someFolder$ echo $USER
john
john@john-pcRefs:~/pCloudDrive/someFolder$ sudo chmod +x GitInitialization.sh 
chmod: cannot access 'GitInitialization.sh': Permission denied

如果有帮助的话，我正在使用云驱动器，并且刚刚从 Ubuntu 22 升级到 Ubuntu 24。

当我尝试访问以该用户身份运行的 nginx 工作进程的符号链接时，遇到“权限被拒绝”错误adg。

类似问题：Owner can't read /proc/$pid/io，但略有不同。我的问题是无法访问符号链接，并且 的输出ls -l包含“Permission denied”错误（来自 stderr）和正常结果（来自 stdout）。具体输出如下：

• 打印nginx worker进程及它的fd信息：

root# ps -fp 2728114
UID          PID    PPID  C STIME TTY          TIME CMD
adg      2728114 2723696  0 21:11 ?        00:00:00 nginx: worker process

root# stat /proc/2728114/fd/0
  File: /proc/2728114/fd/0 -> /dev/null
  Size: 64              Blocks: 0          IO Block: 1024   symbolic link
Device: 0,21    Inode: 204114580   Links: 1
Access: (0700/lrwx------)  Uid: (  948/     adg)   Gid: (  948/     adg)

• ls -l与adg用户和用户一起执行root：

root# sudo -uadg ls -l /proc/2728114/fd/0
ls: cannot read symbolic link '/proc/2728114/fd/0': Permission denied
lrwx------ 1 adg adg 64 Aug 20 21:12 /proc/2728114/fd/0

root# sudo -uadg -gadg /bin/sh -c 'ls -l /proc/2728114/fd/0'
ls: cannot read symbolic link '/proc/2728114/fd/0': Permission denied
lrwx------ 1 adg adg 64 Aug 20 21:12 /proc/2728114/fd/0

root# ls -l /proc/2728114/fd/0
lrwx------ 1 adg adg 64 Aug 20 21:12 /proc/2728114/fd/0 -> /dev/null

• 检查用户和组：

root# grep adg /etc/passwd
adg:x:948:948::/home/adg:/sbin/nologin

root# id -nu 948; id -ng 948
adg
adg

• 检查状态selinux

root# sestatus
SELinux status:                 disabled

root用户可以正常访问 fd，但所有者不能，有人可以帮助我解决这个问题吗？

我在 Mint 21.3 系统上创建了两个用户：

• user1（1000）是在安装过程中创建的
• user2（1001）我后来补充道

两者的主目录都在 中/home，且权限完全相同drwxr-x---。两者都未加密。

问题是，我尝试过的所有作为实时 USB 驱动器的发行版（Ubuntu 和版本、Mint、Fedora 和 spins）都不允许我访问/home/user2。大多数但不是全部都允许/home/user1。用户之间的唯一区别是user1是管理员，而user2不是。

我的问题：为什么会发生这种情况？

我希望我组中的其他用户能够访问我的文件空间中的特定文件夹（及其子文件夹），但不能访问我的其余文件。

[原因是我想要编译一个经过检测的应用程序来使用 gcov 进行代码覆盖；各种 .gcno 文件被写入我的构建目录，我希望我的同事在运行他们的测试时，既能访问这些文件，又能生成与它们一起放置的 .gcda 文件。]

无论如何，我天真地以为我可以这样做：

chmod g+w -fR build_directory

...果然，这会导致 build 目录及其所有子目录的权限为 drwxrwxr-x。其所有文件的权限为 -rw-rw-r--。即便如此，我小组的同事报告说，即使尝试执行

ls -l <full path to build_directory>

返回“无法访问：没有此文件或目录”。

我错过了什么？

以下命令起什么作用？ sudo chmod -R a=,a+rX,u+w,g+w /data

我知道它会改变权限，但究竟改变什么、如何改变呢？

为什么设置umask为会导致安装包0077时gpg 公钥不可用，例如。apt

umask 0077
curl -fsSLo /usr/share/keyrings/brave-browser-beta-archive-keyring.gpg https://brave-browser-apt-beta.s3.brave.com/brave-browser-beta-archive-keyring.gpg
  echo "deb [signed-by=/usr/share/keyrings/brave-browser-beta-archive-keyring.gpg] https://brave-browser-apt-beta.s3.brave.com/ stable main">/etc/apt/sources.list.d/brave-browser-beta.list
apt update
apt install brave-browser-beta
  

上述操作不起作用，我得到了这个输出：

Err:4 https://brave-browser-apt-beta.s3.brave.com stable InRelease    
  The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 0B31DBA06A8A26F9
Reading package lists... Done
W: GPG error: https://brave-browser-apt-beta.s3.brave.com stable InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 0B31DBA06A8A26F9
E: The repository 'https://brave-browser-apt-beta.s3.brave.com stable InRelease' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.

这确实有效：

umask 0022
curl -fsSLo /usr/share/keyrings/brave-browser-beta-archive-keyring.gpg https://brave-browser-apt-beta.s3.brave.com/brave-browser-beta-archive-keyring.gpg
  echo "deb [signed-by=/usr/share/keyrings/brave-browser-beta-archive-keyring.gpg] https://brave-browser-apt-beta.s3.brave.com/ stable main">/etc/apt/sources.list.d/brave-browser-beta.list
apt update
apt install brave-browser-beta

为什么设置umask为0077(然后下载公钥) 会导致 apt 无法使用 gpg 公钥？密钥是作为 下载的root，因此被执行apt update，那么为什么会出现这个问题？

我在 /mnt/ 下有一个具有drwxrwxrwx权限的文件夹，在 root:root 下

然后我将 USB 驱动器 (exFAT) 安装到此文件夹，它变成了drwxr-xr-x

问题是现在我无法通过 WinSCP scp 到该文件夹​​，因为组没有写入文件夹的权限，并且我无法以 root 用户身份 scp 。

我通过 fstab 使用以下命令安装驱动器：

/dev/sdb2       /mnt/USB    exfat   defaults,dmask=0000,umask=0000,rw       0       0

我该如何：1）授予组写入权限或2）将其安装为非root用户以便该用户可以写入？

我尝试过 chown 和 chmod 但没有成功。即使以 root 身份运行也会返回“ Operation not allowed”

在 SSH 中（例如 mkdir），我能够以 root 用户身份写入挂载，因此挂载是可写的，但只能由 root 写入。

/data我有一个想要与组中所有用户共享的目录datagrp。我已经设置了所有权限，现在我有

drwxrwsr-x 2 root datagrp 4.0K Apr 22 14:52 /data

现在所有用户都可以在那里读写，这没关系。但是，如果用户usera创建文件夹/data/a，则其他用户无法写入该文件夹，除非我手动设置权限。我希望这是自动的，这意味着/data任何用户都可以看到和修改里面的所有内容datagrp。如何才能做到这一点？

我已经尝试过了

sudo chown :datagrp /data/
sudo chmod 770 /data/
sudo chmod g+s /data/

和

sudo setfacl -dm u::rw,g::rw,o::r /data