Questions tagged «access-control»

* nix用户权限确实很简单，但是当您在到达给定文件之前必须考虑所有父目录访问权限时，事情可能会变得混乱。如何检查用户是否具有足够的特权？如果不是，那么哪个目录拒绝访问？ 例如，假设一个用户joe和一个文件/long/path/to/file.txt。即使file.txt已更改为777，joe仍必须能够访问/long/，然后/long/path/再访问/long/path/to/。我需要的是一种自动检查此方法的方法。如果joe没有访问权限，我也想知道他在哪里被拒绝了。也许他可以访问/long/，但不能/long/path/。

60 permissions  files  users  access-control 

神父 Br。乔治在他的一次演讲中（用俄语）告诉人们，有些访问权限是超级用户不能侵犯的。那就是有些访问权限可以禁止超级用户做某事。 我无法在Internet上找到此信息，并且很好奇它们是什么。这可能与系统的核心执行有关，不是吗？也许他无法停止某些系统进程？也许他不能在实模式下运行进程？ 这个问题与SELinux没有关系（George在问题之前就在谈论它）。

23 root  privileges  access-control 

在系统上安装SELinux时，是否在标准linux权限之前或之后执行其规则？例如，如果非root Linux用户尝试使用linux许可权写入文件，-rw------- root root将首先检查SELinux规则，还是将应用标准文件系统许可权而从不调用SELinux？

22 files  permissions  selinux  access-control 

已关闭。这个问题需要细节或说明。它当前不接受答案。 想改善这个问题吗？添加详细信息并通过编辑此帖子来澄清问题。 3年前关闭。 该/etc/sudoers文件列出了用户可以使用sudo命令执行的操作 超级用户创建和修改/etc/sudoers文件。 这个概念对我来说很难理解。 如果所有具有sudo特权的用户都属于该sudoers组，那么通过发出sudo su命令，所有这些用户都可以成为root用户。 那么，谁才是真正的root用户，他又如何控制sudoers组中用户的权限？ 请给我解释一下。

21 permissions  sudo  users  root  access-control 

我在某处（也许在LinuxCBT的SELinux课程中；但我不确定）读或听到过，有在线Linux服务器，并且还提供了root用户的密码。Linux服务器使用SELinux规则进行了加固，因此每个人都可以使用root用户登录，但不会对操作系统造成任何损害。 在我看来，这似乎是个神话，但我想确保：是否可以加固Linux机器（可能使用SELinux），从而即使root用户也不能对其进行特定的恶意活动？（例如：删除系统文件，清除日志文件，停止关键服务等） 这样的Linux盒子将是构建蜜罐的一个很好的起点。 编辑： 基于一个答案（现已删除）和一点谷歌搜索，我至少得到了两个指向此类加固Linux服务器的链接。不幸的是，两个服务器都关闭了。作为记录，我将在此处复制粘贴说明： 1）从http://www.coker.com.au/selinux/play.html： SE Linux机器上的免费root用户访问权限！ 要以root用户身份访问我的Debian播放机ssh到play.coker.com.au，密码为... 请注意，如果要成功运行这些机器，则需要大量技能。如果必须询问是否应该运行一个，则答案为“否”。 这样做的目的是证明SE Linux可以在没有任何Unix权限的情况下提供所有必要的安全性（但是仍然建议您对真实服务器也使用Unix权限）。此外，它还使您有机会登录SE机器并查看其外观。 登录到SE Linux播放机时，请确保在登录前使用-x选项禁用X11转发或在/ etc / ssh / ssh_config文件中设置ForwardX11 no。另外，在登录之前，请确保使用-a选项禁用ssh代理转发或在/ etc / ssh / ssh_config文件中将ForwardAgent设置为no。如果您没有正确禁用这些设置，那么登录到游戏机将使您面临通过SSH客户端受到攻击的风险。 这是讨论这样的一个IRC频道，它是#selinux上irc.freenode.net。 这是一个快速常见问题解答 2）来自http://www.osnews.com/comments/3731 Hardened Gentoo的目的是使Gentoo在高安全性，高稳定性的生产服务器环境中可行。该项目不是与Gentoo脱节的独立项目；它旨在成为一个Gentoo开发人员团队，专注于为Gentoo提供可提供强大安全性和稳定性的解决方案。该机器是Hardened Gentoo的SELinux 演示机器。它的主要用途是测试和审核SELinux集成和策略。

20 security  selinux  access-control  hardening 

我已经开发了一个使用NTP更改网络时间，同步两台计算机的应用程序。它运行为root，因为在Linux上仅允许后者更改时间和日期（我想）。 现在，我想以用户身份运行它。但是，我需要获取时间。 在非root用户帐户下运行守护程序是否是一种好习惯？ 我应该为我的应用程序提供诸如以下的功能CAP_SYS_TIME吗？ 它不会引入安全漏洞吗？ 有没有更好的办法？

13 security  daemon  access-control 

我已禁用了Sshd.conf文件中的root用户登录名，因此，即使他们知道密码SOMEHOW，也没有人可以使用root用户登录。 现在我在服务器ROOT，EMERG和ORACLE中有3个用户。我想允许通过使用su切换到仅EMERG用户的ROOT权限，而不是ORACLE用户。 因为通常，如果用户知道ROOT密码，则可以使用su-切换到root用户。我希望此功能仅适用于EMERG用户。 这个怎么做 提前致谢......

12 security  rhel  users  su  access-control 

我有一个在系统上访问受限的用户（也就是说，他不是sudoer）；我们叫他鲍勃。 我拥有系统管理员信任的脚本或二进制文件，并且以root身份运行它不会有任何问题。我们称它为脚本get-todays-passphrase.sh。该脚本的作用是从位于中的“私有”（由Bob /甚至root用户以外的用户/组拥有）文件中读取数据/srv/daily-passphrases，并且仅从文件中输出特定行：与今天的日期相对应的行。 像Bob这样的用户都无法知道明天的密码，即使该密码已在文件中列出。出于这个原因，该文件/srv/daily-passphrases是由Unix许可保护的，所以非root用户喜欢鲍勃没有允许直接访问文件。但是，允许他们随时运行get-todays-passphrase.sh脚本，该脚本将返回“已过滤”的数据。 总结（TL； DR版本）： 鲍勃无法读取受保护的文件 该脚本可以读取受保护的文件 Bob可以随时运行可以读取文件的脚本 是否可以在Unix文件权限内执行此操作？还是如果Bob启动脚本，该脚本是否一定注定要以与Bob相同的权限运行？

11 permissions  root  access-control 

我一直在到处寻找这个。有谁知道如何在DD-WRT路由器上阻止特定的URL？例如，我想阻止website.com/whatever，但没有website.com，blah.website.com或website.com/blah。有没有办法做到这一点，还是只能阻止整个域？ 我尝试在DD-WRT配置中的“访问限制”下添加有问题的URL，但似乎没有任何效果。这是我的设置： 这是客户列表： 我仍然可以在IP地址为192.168.1.146的主PC上轻松浏览至google.com/imghp和google.com/images（重定向到google.com/imghp）。 在DD-WRT Wiki的此页面上，显示“在通过URL地址阻止网站下，输入要阻止的域名（如果有）”。除了DD-WRT论坛上的帖子外，这给我的印象是，您只能在DD-WRT设置中的“访问限制”下阻止域。 我开始怀疑是否必须使用iptables解决此问题，或者可能通过在路由器本身上安装代理服务器来解决。 编辑 DD-WRT论坛上的goli用户对此事有这样的看法（链接）： DD-WRT上的Privoxy版本运行良好。我刚刚安装了它。 Privoxy具有参数“ accept-intercepted-requests 1”，可以将其用作透明代理。 我添加了一个iptables规则，该规则将一些Web流量请求传递到代理，而不是直接路由它： iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -s 192.168.0.128/255.255.255.224 -j DNAT --to 192.168.0.1:8118 Privoxy具有所谓的“动作文件”。这些定义了当请求URL匹配给定的正则表达式时该怎么做。可能的动作之一是“阻止”。 从那时起，我一直在研究如何在路由器上安装Privoxy。这相当复杂，特别是因为我没有足够的备用闪存来使用ipkg通过SSH安装它。（有关超级用户，请参阅此问题。） 我的第二种方法是使用固件修改套件，您可以在此处阅读有关内容。我在刷新自定义版本时遇到了一些困难，但是一旦所有问题都整理妥当，我将在这里发布结果。

9 web  dd-wrt  http-proxy  access-control 

我创建了一些基本有效的系统服务： 位置： /etc/systemd/system/multi-user.target.wants/publicapi.service 内容： [Unit] Description=public api startup script [Service] Type=oneshot RemainAfterExit=yes EnvironmentFile=-/etc/environment WorkingDirectory=/home/techops ExecStart=/home/techops/publicapi start ExecStop=/home/techops/publicapi stop [Install] WantedBy=multi-user.target 当我尝试在命令行中以techops用户身份重新启动服务时，得到以下输出： ==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units === Authentication is required to start 'publicapi.service'. Multiple identities can be used for authentication: 1. Myself,,, (defaultuser) 2. ,,, (techops) Choose identity to authenticate as …

9 systemd  sudo  access-control  polkit 

我的Apache服务器IP地址为192.168.1.100，域名为test.local。 如果用户键入URL，例如说“ http：//test.local ”，则应允许它们。 如果用户尝试访问“ http://192.168.1.100 ”，则应将其拒绝。 我该怎么做？

8 apache-httpd  access-control 

在什么情况下会chmod失败？ 我看了手册页，但它仅指定用法，没有详细介绍在什么情况下无法使用。 我认为在以下chmod情况下可以使用： 你是根 您拥有目标文件（并且正在设置普通模式位，即非粘性位，其他） 用户可以chmod用来更改对其具有组访问权限的文件的权限吗？它与读/写访问有关吗？

8 ubuntu  permissions  chmod  access-control