これは私が多くの情報を見つけることができなかったものですので、どんな助けでもいただければ幸いです。
私の理解はこうです。次のファイルを取ります:
-rw-r----- 1 root adm 69524 May 21 17:31 debug.1
ユーザーphil
はこのファイルにアクセスできません:
phil@server:/var/log$ head -n 1 debug.1
cat: debug.1: Permission denied
phil
がadm
グループに追加された場合、次のことができます。
root@server:~# adduser phil adm
Adding user `phil' to group `adm' ...
Adding user phil to group adm
Done.
phil@server:/var/log$ head -n 1 debug.1
May 21 11:23:15 server kernel: [ 0.000000] DMI: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.7.5.1-0-g8936dbb-20141113_115728-nilsson.home.kraxel.org 04/01/2014
ただし、明示的にを設定しuser:group
てphil:phil
いるときにプロセスが開始された場合は、ファイルを読み取ることができません。プロセスは次のように開始されました:
nice -n 19 chroot --userspec phil:phil / sh -c "process"
プロセスがとして開始された場合、phil:adm
ファイルを読み取ることができます。
nice -n 19 chroot --userspec phil:adm / sh -c "process"
だから問題は本当に:
特定のユーザー/グループのコンボでプロセスを実行することで、そのユーザーの補足グループが所有するファイルにプロセスがアクセスできないようにすることの特別な点は何ですか?これを回避する方法はありますか?