タグ付けされた質問 「access-control」

* nixユーザーのアクセス許可は非常に簡単ですが、特定のファイルに到達する前にすべての親ディレクトリアクセスを考慮する必要がある場合、状況は複雑になります。ユーザーに十分な権限があるかどうかを確認するにはどうすればよいですか？そうでない場合、どのディレクトリがアクセスを拒否していますか？ たとえば、ユーザーjoe、ファイルがあるとします/long/path/to/file.txt。場合であってもfile.txt777にchmodedた、ジョーはまだアクセスできるようにする必要があり/long/、その後、そして/long/path/、その後/long/path/to/の前に。必要なのは、これを自動的に確認する方法です。joeアクセスできない場合、彼がどこで拒否されたかを知りたいです。たぶん彼はアクセスできますが/long/、できません/long/path/。

60 permissions  files  users  access-control 

神父 Br。ジョージは、彼の講義の1つ（ロシア語）で、スーパーユーザーが違反できないアクセス権があると述べました。つまり、スーパーユーザーが何かをすることを禁止できるアクセス権があります。 私はインターネット上でこの情報を見つけることができなかったので、それらが何であるか興味があります。これはおそらくシステムのコア実行に関連するものではありませんか？たぶん彼はいくつかのシステムプロセスを停止できないのでしょうか？それとも、彼はリアルモードでプロセスを実行できないのでしょうか？ この質問はSELinuxとは関係ありません（Georgeは質問の直前にそれについて話していました）。

23 root  privileges  access-control 

SELinuxがシステムにインストールされている場合、標準のLinux許可の前後にルールが適用されますか？たとえば、非ルートLinuxユーザーがLinuxパーミッションでファイルに書き込もうとすると、-rw------- root rootSELinuxルールが最初にチェックされますか、それとも標準ファイルシステムパーミッションが適用され、SELinuxは呼び出されませんか？

22 files  permissions  selinux  access-control 

閉じた。この質問には詳細または明確さが必要です。現在、回答を受け付けていません。 この質問を改善したいですか？詳細を追加し、この投稿を編集して問題を明確にします。 閉じた3年前。 /etc/sudoersユーザーが何を行うことができますファイルリストsudoコマンド rootユーザーが/etc/sudoersファイルを作成および変更します。 この概念を理解するのは難しいです。 sudo特権を持つすべてのユーザーがsudoersグループに属している場合、sudo suコマンドを与えることですべてのユーザーがrootになることができます。 次に、実際のrootユーザーは誰で、sudoersグループのユーザーの権限をどのように制御しますか？ 説明してください。

21 permissions  sudo  users  root  access-control 

私はどこかを読んだり聞いたりしました（LinuxCBTのSELinuxコースのことかもしれませんが、確かではありません）。オンラインのLinuxサーバーがあり、rootユーザーのパスワードも与えられています。Linuxサーバーは、SELinuxルールを使用して強化されており、すべてのユーザーがrootユーザーでログインできますが、OSに害を及ぼすことはできません。 私には神話のように思えますが、確認したかったのは、Linuxユーザーを（おそらくSELinuxで）強化して、rootユーザーでさえ特定の悪意のある活動を実行できないようにすることですか？（例：システムファイルの削除、ログファイルの消去、重要なサービスの停止など） このようなLinuxボックスは、ハニーポットを構築するための素晴らしい出発点になります。 編集： 回答（現在削除済み）と少しのグーグルに基づいて、このような強化されたLinuxサーバーを指摘するリンクを少なくとも2つ入手しました。残念ながら、両方のサーバーがダウンしています。記録のために、ここに説明をコピーして貼り付けます。 1）http://www.coker.com.au/selinux/play.htmlから： SE Linuxマシンでの無料ルートアクセス！ Debianプレイマシンsshにplay.coker.com.auからアクセスするにはとしてするには、パスワードは... このようなマシンを正常に実行するには、多くのスキルが必要です。実行するかどうかを尋ねる必要がある場合、答えは「いいえ」です。 これの目的は、必要なすべてのセキュリティがUnix権限なしでSE Linuxによって提供できることを実証することです（ただし、実サーバーにもUni​​x権限を使用することをお勧めします）。また、SEマシンにログインして、それがどのようなものかを確認する機会を提供します。 SE Linuxプレイマシンにログインするときは、ログインする前に-xオプションを使用してX11転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardX11 noを設定してください。また、ログインする前に、-aオプションを使用してsshエージェント転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardAgent noを設定してください。これらの設定を正しく無効にしないと、プレイマシンにログインすると、SSHクライアントを介して攻撃を受ける危険があります。 これを議論するためのIRCチャンネルがあり、それがある#selinuxにirc.freenode.net。 ここに簡単なFAQがあります 2）http://www.osnews.com/comments/3731から 強化されたGentooの目的は、Gentooを高セキュリティ、高安定性の本番サーバー環境で実行可能にすることです。このプロジェクトは、Gentoo本体から切り離されたスタンドアロンのプロジェクトではありません。強力なセキュリティと安定性を提供するソリューションをGentooに提供することに焦点を当てたGentoo開発者のチームになることを意図しています。このマシンは、強化されたGentooのSELinuxのあるデモ機。主な用途は、SELinux統合とポリシーのテストと監査です。

20 security  selinux  access-control  hardening 

NTPを使用してネットワーク時間を変更し、2台のコンピューターを同期するアプリケーションを開発しました。rootLinuxで時刻と日付を変更できるのは後者だけなので、として実行されます（推測します）。 今、私はユーザーとしてそれを実行したい。しかし、私は時間にアクセスする必要があります。 root以外のユーザーアカウントでデーモンを実行することをお勧めしますか？ アプリケーションに次のような機能を与えましょうCAP_SYS_TIMEか？ セキュリティの脆弱性は発生しませんか？ もっと良い方法はありますか？

13 security  daemon  access-control 

Sshd.confファイルからのrootユーザーのログインを無効にしたため、パスワードSOMEHOWを知っていても、rootユーザーを使用してログインすることはできません。 サーバーROOT、EMERG、ORACLEに3人のユーザーがいます。ROOTへの切り替えをsuを使用してEMERGユーザーのみに許可し、ORACLEユーザーには許可したくない。 通常、ユーザーがROOTパスワードを知っている場合は、su-を使用してrootに切り替えることができます。そして、私はこの機能をEMERGユーザーのみが利用できるようにしたいと考えています。 これを行う方法 前もって感謝します......

12 security  rhel  users  su  access-control 

システムへのアクセスが制限されたユーザーがいます（つまり、彼はsudoerではありません）。彼をボブと呼びましょう。 私はシステム管理者である私が信頼するスクリプトまたはバイナリを持っているので、それをrootとして実行しても問題はありません。スクリプトを呼び出しましょうget-todays-passphrase.sh。このスクリプトの仕事は、にある「プライベート」（Bob以外のユーザー/グループ、またはrootでも所有）ファイルからデータを読み取り/srv/daily-passphrases、ファイルから特定の行のみを出力することです。今日の日付に対応する行。 Bobのようなユーザーは、ファイルにリストされていても、明日のパスフレーズを知ることはできません。このため、ファイル/srv/daily-passphrasesはUnixパーミッションで保護されているため、Bobなどの非rootユーザーはファイルに直接アクセスできません。ただし、get-todays-passphrase.shスクリプトの実行はいつでも許可されており、「フィルタリングされた」データが返されます。 要約すると（TL; DRバージョン）： ボブは保護されたファイルを読み取ることができません スクリプトは保護されたファイルを読み取ることができます ボブはいつでもファイルを読み取ることができるスクリプトを実行できます Unixファイルの権限内でこれを行うことは可能ですか？または、Bobがスクリプトを開始した場合、そのスクリプトは常にBobと同じ権限で実行されるように運命づけられますか？

11 permissions  root  access-control 

私はこれをどこでも探していました。DD-WRTルーターで特定のURLをブロックする方法を知っている人はいますか？例えば、私がブロックしたくwebsite.com/whateverなくwebsite.com、blah.website.comまたはwebsite.com/blah。これを行う方法はありますか、それともドメイン全体のみをブロックできますか？ 問題のURLをDD-WRT構成のアクセス制限の下に追加しようとしましたが、効果がないようです。これが私の設定です： そしてここにクライアントのリストがあります： メインPCでIPアドレス192.168.1.146を使用して、google.com / imghpおよびgoogle.com/images（google.com/imghpにリダイレクト）を簡単に参照できます。 で、このページ DD-WRTのwikiの、それは「URLアドレスによるブロックの下にウェブサイトが、あなたは（もしあれば）ブロックしたいドメイン名（複数可）で入力してください。」と言います これは、DD-WRTフォーラムへの投稿に加えて、DD-WRTセットアップのアクセス制限の下でのみドメインをブロックできるという印象を与えます。 この問題はiptablesを使用して解決する必要があるのか​​、あるいはルーター自体にプロキシサーバーをインストールすることで解決できるのかと思い始めています。 編集 DD-WRTフォーラムのユーザーgoliは、この件について次のように述べています（リンク）： DD-WRTで非常にうまく動作するPrivoxyバージョンがあります。インストールしたところです。 Privoxyには、「accept-intercepted-requests 1」というパラメータがあり、透過プロキシとして使用できます。 一部のWebトラフィック要求を直接ルーティングする代わりにプロキシに渡す単一のiptablesルールを追加しました。 iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -s 192.168.0.128/255.255.255.224 -j DNAT --to 192.168.0.1:8118 Privoxyはいわゆる「アクションファイル」を持っています。これらは、リクエストURLが特定の正規表現に一致した場合の処理​​を定義します。可能なアクションの1つは「ブロック」です。 それ以来、私はルーターにPrivoxyをインストールする方法を考え出すことに取り組んでいます。特にipkgを使用してSSH経由でインストールするのに十分な予備のフラッシュメモリがないため、かなり複雑です。（スーパーユーザーでこの質問を参照してください。） 私の2番目のアプローチは、ここで読むことができるファームウェア変更キットを使用することです。カスタムビルドのフラッシュに問題がありましたが、すべてが揃ったら、結果をここに投稿します。

9 web  dd-wrt  http-proxy  access-control 

基本的に機能するsystemdサービスをいくつか作成しました。 ロケーション： /etc/systemd/system/multi-user.target.wants/publicapi.service コンテンツ： [Unit] Description=public api startup script [Service] Type=oneshot RemainAfterExit=yes EnvironmentFile=-/etc/environment WorkingDirectory=/home/techops ExecStart=/home/techops/publicapi start ExecStop=/home/techops/publicapi stop [Install] WantedBy=multi-user.target コマンドラインでtechopsユーザーとしてサービスを再起動しようとすると、次の出力が表示されます。 ==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units === Authentication is required to start 'publicapi.service'. Multiple identities can be used for authentication: 1. Myself,,, (defaultuser) 2. ,,, (techops) Choose identity to authenticate as …

9 systemd  sudo  access-control  polkit 

私のApacheサーバーのIPアドレスは192.168.1.100で、ドメイン名はtest.localです。 ユーザーが「http：//test.local」のようにURLを入力すると、許可されるはずです。 ユーザーが「http://192.168.1.100」にアクセスしようとすると、拒否されます。 どうすればこれを達成できますか？

8 apache-httpd  access-control 

どのような状況でchmod失敗しますか？ マニュアルページを確認しましたが、使用方法が指定されているだけであり、動作しない状況については詳しく説明していません。 私chmodはうまくいくと思います： あなたは根です あなたはターゲットファイルを所有しています（そして平凡なモードビット、つまりスティッキービットを設定していません、その他） ユーザーはchmod、グループアクセス権を持つファイルのアクセス許可を変更するために使用できますか？読み取り/書き込みアクセスに関連していますか？

8 ubuntu  permissions  chmod  access-control