タグ付けされた質問 「permissions」

FreeBSD ACLとLinux ACLの動作の違いを理解しようとしています。特に、デフォルトACLの継承メカニズム。 Debian 9.6とFreeBSD 12の両方で以下を使用しました： $ cat test_acl.sh #!/bin/sh set -xe mkdir storage setfacl -d -m u::rwx,g::rwx,o::-,m::rwx storage touch outside cd storage touch inside cd .. ls -ld outside storage storage/inside getfacl -d storage getfacl storage getfacl outside getfacl storage/inside umask Debian 9.6から次の出力が得られます。 $ ./test_acl.sh + mkdir storage + …

10 linux  permissions  freebsd  acl 

pi3Bで遊んでいると、奇妙なことがわかりました。でファイルを作成したいのですが/sys/class/gpio（特に理由はありません）、アクセスが拒否されました。以下はいくつかの情報です。 pi@raspberrypi:/sys/class/gpio $ groups pi adm dialout cdrom sudo audio video plugdev games users input netdev gpio i2c spi pi@raspberrypi:/sys/class/gpio $ ls -ld . drwxrwx--- 2 root gpio 0 May 6 00:28 . pi@raspberrypi:/sys/class/gpio $ touch somefile touch: cannot touch 'somefile': Permission denied ご覧のとおり、私はグループgpioに属しており、グループにはdirectoryの書き込み権限があり/sys/class/gpioます。 だから問題は、自分が所属し/sys/class/gpioているグループがアクセス権を持っていても、なぜ新しいファイルを作成できないのかということです。 piユーザーをグループgpioに追加した後、再ログインして再起動してみましたが、それは数日前です。 OS：raspbianストレッチ 試しました newgrp

10 permissions  directory-structure 

画面の明るさを機能させようとしているときに、コマンドを完全に理解せずに実行したところ、「/ sys / class / backlight / asus_laptop」にある厄介なシンボリックリンクが表示されなくなりました。 私が試してみました sudo rm /sys/class/backlight/asus_laptop sudo rm '/sys/class/backlight/asus_laptop' su root rm /sys/class/backlight/asus_laptop sudo rm /sys/class/backlight/asus_laptop ディレクトリに移動してと入力しrm asus_laptop、所有権を変更し、Thunarを使用して削除を試みます。 私は得る rm: cannot remove '/sys/class/backlight/asus_laptop': Operation not permitted リンク解除についても同様で、rmdirが機能せず、Thunarが失敗します。 その上の許可はlrwxrwxrwxです どうすれば削除できますか？

10 linux  permissions  rm  sysfs 

非特権ユーザーとしてファイルを作成し、アクセス許可モードをに変更すると400、そのユーザーには正しく読み取り専用として表示されます。 $ touch somefile $ chmod 400 somefile $ [ -w somefile ] && echo rw || echo ro ro すべては順調です。 しかし、その後ルートがやって来ます： # [ -w somefile ] && echo rw || echo ro rw 一体何ですか？確かに、rootは読み取り専用ファイルに書き込むことができますが、それを習慣にするべきではありません。ベストプラクティスでは、書き込み許可ビットをテストできるように指示する傾向があり、そうでない場合は設定されています。理由のためにその方法。 私は両方を理解したいと思い、なぜこれが起こっている、そしてどのように私は得ることができます偽の書き込みビットがセットされていないファイルをテストするときにリターンコードを？

10 permissions  test  readonly 

samba sghareをホームディレクトリのディレクトリにマウントしたい。作成しましたが、ルートとして共有をマウントします。マウントすると、dirの所有者がrootに変わり、ユーザーには共有上のファイルを牽引する権限がありません...書き込み権限でマウントできるようにマウント行を変更するにはどうすればよいですか？それは現在このように見えます：sudo mount -t cifs //IP/share/ /mount/point/ -o rw,username=user,password=pass,domain=domain

10 permissions  mount  samba 

プロセスデエスカレート経由権限setuid()とsetgid()UID / GID彼らはセットのグループメンバーシップを継承していないようです。 特権ポートを開くためにrootとして実行する必要があるサーバープロセスがあります。その後、特定の非特権uid / gid 1にエスカレートします-たとえば、ユーザーfoo（UID 73）のuid / gid 。ユーザーfooはグループのメンバーですbar： > cat /etc/group | grep bar bar:x:54:foo したがって、としてログインするとfoo、/test.txt次の特性を持つファイルを読み取ることができます。 > ls -l /test.txt -rw-r----- 1 root bar 10 Mar 8 16:22 /test.txt ただし、std=gnu99ルートを実行すると、次のCプログラム（コンパイル）が表示されます。 #include <stdio.h> #include <fcntl.h> #include <unistd.h> int main (void) { setgid(73); setuid(73); int fd = open("/test.txt", O_RDONLY); …

10 permissions  group  setuid  setgid 

Debianには、ntfsフォーマットのUSBハードドライブを接続しようとしたときに、ディレクトリがrootに属しているため、通常のユーザーとしてそれに書き込むことができないという一般的な問題があります。 少し前に、uid=1000,gid=1000（またはuidとgidが何であれ）オプションを追加することで修正できることを読みました。これで問題は解決しますが、マルチユーザーシステムの場合、ドライブは常に同じユーザーに属し、それをマウントしたユーザーまたはログインしているユーザーではないため、少し厄介なように見えます。 Ubuntuを使用していたときから、これは問題ではなく、NTFSドライブを（GNOMEで）マウントでき、それらをマウントしたユーザーが書き込み可能であったことを覚えています。そのため、GNOMEは、ログインしたユーザーに与えられた権限でドライブをマウントできるようです。 しかし、今はDebian jessieでKDEを使用しています。アクティブなXセッションを持つユーザーの権限でドライブをマウントするようにコンピューターを構成できるかどうか疑問に思っています。

10 debian  permissions  mount  usb-drive 

私はシステム管理の初心者で、権限に関するクエリがあります。というグループがありadministrationます。内部administrationグループ、私は、ユーザーが持っていますuser1、user2、user3、superuser。すべてのユーザーがadministrationグループに属しています。ここで、他のユーザーのディレクトリsuperuserを表示できるように、ユーザーに権限を与える必要があり/homeます。しかし、私はしたくないuser1、user2、user3本人以外の他のユーザーの自宅を見に。（つまり、の家などuser1しか表示できないはずですuser1）。 ユーザーとグループを作成し、すべてのユーザーをグループに割り当てました。superuser現時点での権限を指定するにはどうすればよいですか？ 言い換えれば、私は2つのグループ（たとえばNormalUsersとSuperuser）を持つことを考えています。NormalUsersグループは、ユーザーを持つことになりますuser1、user2とuser3。Superuserグループは、ユーザーを持つことになりますSuperuser。ここSuperuserで、グループ内のユーザーのファイルにフルアクセスできるようにする必要がありますNormalUsers。これはLinuxで可能ですか？

10 linux  permissions 

私は最近、OpenCVで遊ぶために外部ウェブカメラを購入しました。Debianですぐに機能しますが、フラッシュコンテンツ（youtube、soundcloud）を含むサイトを閲覧すると、ウェブカメラのアクティビティLEDが点滅し、その間、他のアプリケーション（チーズなど）はウェブカメラにアクセスできません。 。 当然、FlashプレーヤーのコンテキストメニューでWebカメラへのアクセスを拒否し、プラグインで使用する他の組み込みカメラを選択しましたが、問題は解決しません。 （完全にはわかりませんが）このウェブカメラを使用するようにフラッシュプラグインを初めて設定したときにすべてが始まったと思いますが、それより前に起こったとは思いません。しかし、それをパージflashplayer-nonfreeして再インストールしても何も変わりません。 フラッシュプラグインが他のアプリケーションで利用できるようにしながら、この特定のウェブカメラをアクティブ化しないようにする方法はありますか？または、フラッシュ設定に初めて触れる前の状態に戻す方法がありますが、カメラを接続した後（メモリが正しく機能していると仮定） 更新されたDebian squeezeとMicrosoft LifeCam Studioウェブカメラを使用しています。私が話しているブラウザはChrome v。21.0.1180.57です。 編集：これは、chromeを使用している間のみ持続します。iceweaselに切り替えたとき、これは起こりませんでした。これはクロムに関連している可能性があることを示していると思います。

10 debian  permissions  adobe-flash  camera  chrome 

Ubuntu 10.04（lucid）を実行しているマシンにX転送を使用して、SSH経由でリモートでログインしています。ほとんどのX11アプリケーション（xterm、gnome-terminalなど）は正常に動作します。しかし、Evinceは起動しません。~/.Xauthorityファイルが存在しても読み取りはできないようで、明らかに読み取り可能です（適切なアクセス許可があり、他のアプリケーションが問題なく読み取れます）。 $ evince X11 connection rejected because of wrong authentication. Cannot parse arguments: Cannot open display: $ echo DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY DISPLAY=localhost:10.0 XAUTHORITY= $ strace evince … access("/home/gilles/.Xauthority", R_OK) = 0 open("/home/gilles/.Xauthority", O_RDONLY) = -1 EACCES (Permission denied) … $ ls -l ~/.Xauthority -rw------- 1 gilles gilles 496 Jul 5 …

10 ubuntu  permissions  evince  apparmor  xauth 

FedoraサーバーにSCPを実行すると、ファイルのタイムスタンプを変更できないというエラー（ "set time：operation not allowed"）が発生し続けます。ユーザーはファイルの所有者ではありませんが、chownセキュリティ上の理由からこのユーザーにファイルを送信することはできません。ユーザーはできますがsudo、これはSCP / FTPクライアントを介して行われるため、それを行う方法もありません。最後に、このユーザーにrootアクセスを与える必要はなく、タイムスタンプを設定する必要があるrsyncやWinSCPなどの同期を使用できるようにします。 ユーザーはrw、関連するすべてのファイルとディレクトリに対する完全な権限を持つグループの一部です。touch -tこれらの特定のファイルをユーザーに許可せずに、ユーザーにそれらを許可する方法についてchown何か考えはありますか？ 詳細情報これはすべて、単一の開発者シナリオ（つまり、SCMなし）でPHP開発を有効にすることと関係があります。私はEclipseまたはNetBeansを使用して、PHPベースの（WordPress）サイトのローカルコピーで作業しながら、ユーザーが開発サーバーで自分の変更を「瞬時に」プレビューできるようにしています。ユーザーはリモートで作業します。これまでのところ、自動同期のすべての試行は失敗しました。ローカルフォルダーを監視し、常に日付/タイムスタンプを設定しようとするため、リモートフォルダーエラーまでの変更をアップロードしようとする「ウォッチフォルダー」モードでWinSCPを使用しても。 ユーザーはsudoアクセス権を持っていますが、「root」の下で作業することは本当に良い考えではないと言われているため、この作業を行うためにrootとしてログインするだけでは不本意です。その上、それは必要ではないはずです。スーパーユーザー以外のユーザーが同じことをできるようにしたいと思います。アカウント情報を使用してFTP接続を確立し、同期を介してリモートで作業できるようにします。したがって、ソリューションはrootアクセス権のない人のために機能する必要があります。 私を驚かせるものは、私がどれほどの困難を抱えているかです。これらすべてのソフトウェア（NetBeans、Eclipse、WinSCP）は同期を可能にするように設計されており、すべてタイムスタンプの書き込みを試みます。だからそれは可能でなければならない。WinSCPには「タイムスタンプの設定」をオフにするオプションがありますが、監視/同期フォルダーを選択すると、このオプションは使用できなくなります（常に「オン」）。だから、いましたかなり標準的であるものにします。 Linuxに関しては完全にばかであり、私が開発の「サーバー管理者」であることを考えると、それが私がやっていることや私が（誤って）構成したことは、ばかげたことだとしか言えません。 要約一言で言えば、ディレクトリへのグループr / wアクセス権を持つすべてのユーザーが、SCPを介してそのディレクトリ内のファイルのタイムスタンプを変更できるようにしたいと考えています。

10 permissions  scp  ftp 

ディレクトリの許可ビットを直接表示できるコマンドは何ですか？

10 shell  permissions  directory 

私は上司からボランティアで、本番Redhatサーバーのシステム管理者になりました。彼は私にセキュリティを強化して、そんなにrm -f *前に起こったような事故を回避するように頼みました。 現在、53人のユーザーがマシンにsudoを実行していますが、これは監査の悪夢です。ユーザーのアクセスを特定の曜日にのみ許可できるかどうか疑問に思っています。 たとえば、ユーザー「Joe」に火曜日と木曜日にのみログインを許可し、「Jane」に日曜日にのみログインを許可することはできますか？etc/sudoersこれを許可するようにカスタマイズできますか？ sudoersを使用するよりも良い方法はありますか？

10 permissions  security  sudo 

MacOS Mojaveは、SIPの効果をユーザーのホームディレクトリに拡張しました。デフォルトでは、ユーザーのホームディレクトリ内の多くのディレクトリへのアクセスは拒否されます。これらのディレクトリのいくつかの例を以下に示します。 ~/Library/Messages ~/Library/Mail ~/Library/Safari [… etc.] ターミナルからこれらのディレクトリにアクセスするには、システムアプリケーション>セキュリティとプライバシー>プライバシー>フルディスクアクセスでターミナルアプリケーションを定義する必要があります。システムの次のディレクトリを除いて、設定は機能します。同じ動作がコンテナ内の他のデータに存在する可能性があります-確かではありません。 ~/Library/Containers/com.apple.mail/Data/DataVaults 興味深い動作は簡単に再現できます。ディレクトリも表示されません。 cd ~/Library/Containers/com.apple.mail/Data ls ls: DataVaults: Operation not permitted 私はrsync自分のホームディレクトリを外部ハードドライブにミラーリングするために使用しています。しかし、rsync「IOエラーが発生しました-ファイルの削除をスキップします。この問題に関するドキュメントは見つかりません。Appleのサポートはまったくわかりません。このディレクトリが特別なのはなぜですか。SIPを無効にせずにディレクトリにアクセスするにはどうすればよいですか。 SIPを無効にした場合の詳細調査の結果 システム情報によると、Mojaveのアップグレードは2018年9月24日に行われました。ディレクトリも同じ日に作成されました。私のユーザーはディレクトリを所有し、スタッフグループはグループの所有者です。権限は0700 @です。記号で示されているように、拡張属性があります。ACLはありません。フラグはありません。 xattr -l ~/Library/Containers/com.apple.mail/Data/DataVaults com.apple.quarantine: 0082;00000000;Mail; com.apple.rootless: Mail ls -lO DataVaults (no result; exit 0) SIPを無効にし、ディレクトリを削除し、SIPを再度有効にすると、メールが開かれるとすぐに、ディレクトリは同じ権限で再表示されます。メール（バージョン12.0（3445.100.39））にはプラグインがありません。 2018年10月16日の新規インストールの結果 フォーマットして再インストールした後、ディレクトリは存在しません。それがどのようにして始まったのか、私にはまだ手がかりがありません。 2019年3月29日のアップグレードの結果 ディレクトリは、Mojave 10.14.4（18E226）および/またはMailバージョン12.4（3445.104.8）へのアップグレードと同時に再出現しました。

10 permissions  osx 

私はこのコマンドを実行しています： $ sudo tar xvzf nexus-latest-bundle.tar.gz 抽出されたファイルは不明な（1001）ユーザーに属しています： drwxr-xr-x 8 1001 1001 4096 Dec 16 18:37 nexus-2.12.0-01 drwxr-xr-x 3 1001 1001 4096 Dec 16 18:47 sonatype-work 通常の構成ではrootを所有者にすべきではありませんか？ AWS AMIから複製されたLinuxインストールに取り組んでいます。

10 files  permissions  users  root  tar