Questions tagged «access-control»

4
如何检查用户是否可以访问给定文件?
* nix用户权限确实很简单,但是当您在到达给定文件之前必须考虑所有父目录访问权限时,事情可能会变得混乱。如何检查用户是否具有足够的特权?如果不是,那么哪个目录拒绝访问? 例如,假设一个用户joe和一个文件/long/path/to/file.txt。即使file.txt已更改为777,joe仍必须能够访问/long/,然后/long/path/再访问/long/path/to/。我需要的是一种自动检查此方法的方法。如果joe没有访问权限,我也想知道他在哪里被拒绝了。也许他可以访问/long/,但不能/long/path/。

8
超级用户不能侵犯哪些访问权限?
神父 Br。乔治在他的一次演讲中(用俄语)告诉人们,有些访问权限是超级用户不能侵犯的。那就是有些访问权限可以禁止超级用户做某事。 我无法在Internet上找到此信息,并且很好奇它们是什么。这可能与系统的核心执行有关,不是吗?也许他无法停止某些系统进程?也许他不能在实模式下运行进程? 这个问题与SELinux没有关系(George在问题之前就在谈论它)。


1
sudo用户和root用户之间的区别[关闭]
已关闭。这个问题需要细节或说明。它当前不接受答案。 想改善这个问题吗?添加详细信息并通过编辑此帖子来澄清问题。 3年前关闭。 该/etc/sudoers文件列出了用户可以使用sudo命令执行的操作 超级用户创建和修改/etc/sudoers文件。 这个概念对我来说很难理解。 如果所有具有sudo特权的用户都属于该sudoers组,那么通过发出sudo su命令,所有这些用户都可以成为root用户。 那么,谁才是真正的root用户,他又如何控制sudoers组中用户的权限? 请给我解释一下。

3
神话还是现实:SELinux可以限制root用户吗?
我在某处(也许在LinuxCBT的SELinux课程中;但我不确定)读或听到过,有在线Linux服务器,并且还提供了root用户的密码。Linux服务器使用SELinux规则进行了加固,因此每个人都可以使用root用户登录,但不会对操作系统造成任何损害。 在我看来,这似乎是个神话,但我想确保:是否可以加固Linux机器(可能使用SELinux),从而即使root用户也不能对其进行特定的恶意活动?(例如:删除系统文件,清除日志文件,停止关键服务等) 这样的Linux盒子将是构建蜜罐的一个很好的起点。 编辑: 基于一个答案(现已删除)和一点谷歌搜索,我至少得到了两个指向此类加固Linux服务器的链接。不幸的是,两个服务器都关闭了。作为记录,我将在此处复制粘贴说明: 1)从http://www.coker.com.au/selinux/play.html: SE Linux机器上的免费root用户访问权限! 要以root用户身份访问我的Debian播放机ssh到play.coker.com.au,密码为... 请注意,如果要成功运行这些机器,则需要大量技能。如果必须询问是否应该运行一个,则答案为“否”。 这样做的目的是证明SE Linux可以在没有任何Unix权限的情况下提供所有必要的安全性(但是仍然建议您对真实服务器也使用Unix权限)。此外,它还使您有机会登录SE机器并查看其外观。 登录到SE Linux播放机时,请确保在登录前使用-x选项禁用X11转发或在/ etc / ssh / ssh_config文件中设置ForwardX11 no。另外,在登录之前,请确保使用-a选项禁用ssh代理转发或在/ etc / ssh / ssh_config文件中将ForwardAgent设置为no。如果您没有正确禁用这些设置,那么登录到游戏机将使您面临通过SSH客户端受到攻击的风险。 这是讨论这样的一个IRC频道,它是#selinux上irc.freenode.net。 这是一个快速常见问题解答 2)来自http://www.osnews.com/comments/3731 Hardened Gentoo的目的是使Gentoo在高安全性,高稳定性的生产服务器环境中可行。该项目不是与Gentoo脱节的独立项目;它旨在成为一个Gentoo开发人员团队,专注于为Gentoo提供可提供强大安全性和稳定性的解决方案。该机器是Hardened Gentoo的SELinux 演示机器。它的主要用途是测试和审核SELinux集成和策略。

3
在非root用户帐户下运行守护程序是否是一种好习惯?
我已经开发了一个使用NTP更改网络时间,同步两台计算机的应用程序。它运行为root,因为在Linux上仅允许后者更改时间和日期(我想)。 现在,我想以用户身份运行它。但是,我需要获取时间。 在非root用户帐户下运行守护程序是否是一种好习惯? 我应该为我的应用程序提供诸如以下的功能CAP_SYS_TIME吗? 它不会引入安全漏洞吗? 有没有更好的办法?

1
如何阻止用户切换到根用户
我已禁用了Sshd.conf文件中的root用户登录名,因此,即使他们知道密码SOMEHOW,也没有人可以使用root用户登录。 现在我在服务器ROOT,EMERG和ORACLE中有3个用户。我想允许通过使用su切换到仅EMERG用户的ROOT权限,而不是ORACLE用户。 因为通常,如果用户知道ROOT密码,则可以使用su-切换到root用户。我希望此功能仅适用于EMERG用户。 这个怎么做 提前致谢......

2
我可以使文件只能由脚本访问,而不能由用户访问吗?
我有一个在系统上访问受限的用户(也就是说,他不是sudoer);我们叫他鲍勃。 我拥有系统管理员信任的脚本或二进制文件,并且以root身份运行它不会有任何问题。我们称它为脚本get-todays-passphrase.sh。该脚本的作用是从位于中的“私有”(由Bob /甚至root用户以外的用户/组拥有)文件中读取数据/srv/daily-passphrases,并且仅从文件中输出特定行:与今天的日期相对应的行。 像Bob这样的用户都无法知道明天的密码,即使该密码已在文件中列出。出于这个原因,该文件/srv/daily-passphrases是由Unix许可保护的,所以非root用户喜欢鲍勃没有允许直接访问文件。但是,允许他们随时运行get-todays-passphrase.sh脚本,该脚本将返回“已过滤”的数据。 总结(TL; DR版本): 鲍勃无法读取受保护的文件 该脚本可以读取受保护的文件 Bob可以随时运行可以读取文件的脚本 是否可以在Unix文件权限内执行此操作?还是如果Bob启动脚本,该脚本是否一定注定要以与Bob相同的权限运行?

3
如何在DD-WRT路由器上阻止特定的URL?
我一直在到处寻找这个。有谁知道如何在DD-WRT路由器上阻止特定的URL?例如,我想阻止website.com/whatever,但没有website.com,blah.website.com或website.com/blah。有没有办法做到这一点,还是只能阻止整个域? 我尝试在DD-WRT配置中的“访问限制”下添加有问题的URL,但似乎没有任何效果。这是我的设置: 这是客户列表: 我仍然可以在IP地址为192.168.1.146的主PC上轻松浏览至google.com/imghp和google.com/images(重定向到google.com/imghp)。 在DD-WRT Wiki的此页面上,显示“在通过URL地址阻止网站下,输入要阻止的域名(如果有)”。除了DD-WRT论坛上的帖子外,这给我的印象是,您只能在DD-WRT设置中的“访问限制”下阻止域。 我开始怀疑是否必须使用iptables解决此问题,或者可能通过在路由器本身上安装代理服务器来解决。 编辑 DD-WRT论坛上的goli用户对此事有这样的看法(链接): DD-WRT上的Privoxy版本运行良好。我刚刚安装了它。 Privoxy具有参数“ accept-intercepted-requests 1”,可以将其用作透明代理。 我添加了一个iptables规则,该规则将一些Web流量请求传递到代理,而不是直接路由它: iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -s 192.168.0.128/255.255.255.224 -j DNAT --to 192.168.0.1:8118 Privoxy具有所谓的“动作文件”。这些定义了当请求URL匹配给定的正则表达式时该怎么做。可能的动作之一是“阻止”。 从那时起,我一直在研究如何在路由器上安装Privoxy。这相当复杂,特别是因为我没有足够的备用闪存来使用ipkg通过SSH安装它。(有关超级用户,请参阅此问题。) 我的第二种方法是使用固件修改套件,您可以在此处阅读有关内容。我在刷新自定义版本时遇到了一些困难,但是一旦所有问题都整理妥当,我将在这里发布结果。

2
仅以特定用户身份重新启动systemd服务?
我创建了一些基本有效的系统服务: 位置: /etc/systemd/system/multi-user.target.wants/publicapi.service 内容: [Unit] Description=public api startup script [Service] Type=oneshot RemainAfterExit=yes EnvironmentFile=-/etc/environment WorkingDirectory=/home/techops ExecStart=/home/techops/publicapi start ExecStop=/home/techops/publicapi stop [Install] WantedBy=multi-user.target 当我尝试在命令行中以techops用户身份重新启动服务时,得到以下输出: ==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units === Authentication is required to start 'publicapi.service'. Multiple identities can be used for authentication: 1. Myself,,, (defaultuser) 2. ,,, (techops) Choose identity to authenticate as …

1
通过服务器IP地址阻止访问者
我的Apache服务器IP地址为192.168.1.100,域名为test.local。 如果用户键入URL,例如说“ http://test.local ”,则应允许它们。 如果用户尝试访问“ http://192.168.1.100 ”,则应将其拒绝。 我该怎么做?

4
chmod何时会失败?
在什么情况下会chmod失败? 我看了手册页,但它仅指定用法,没有详细介绍在什么情况下无法使用。 我认为在以下chmod情况下可以使用: 你是根 您拥有目标文件(并且正在设置普通模式位,即非粘性位,其他) 用户可以chmod用来更改对其具有组访问权限的文件的权限吗?它与读/写访问有关吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.