Эквивалент Unix / Linux для проверки обхода байпаса Windows

Windows имеет привилегию под названием «Обход проверки на обход» (также известный как SeChangeNotifyPrivilege ). Это позволяет системе обходить проверки ACL в родительских объектах, чтобы пользователь мог [потенциально] обращаться к дочернему объекту.

Пример, вероятно, будет полезен:

<file system> | +-- john.doe | +-- public 

В приведенном выше примере обычно можно сжать каталог john.doe чтобы он имел полный контроль (и, возможно, его группа имела доступ на чтение). Однако public каталог Doe доступен для чтения в мире, чтобы каждый мог видеть, что он делится.

В Windows для проверки приведенного выше сценария будет использоваться проверка обхода байпаса.

Использует ли Unix / Linux эквивалент проверки обхода в обход Windows? Если так, то, что это?

Если нет, как обеспечить доступ к public каталогу, не открывая отверстия безопасности в родительском каталоге?


Интересно, что все мои машины Ubuntu дезактивируют домашний каталог, чтобы каждый мог получить к нему доступ по пути в public каталог, даже учетную запись гостя !!! И учетная запись гостя также позволяет исследовать корневую директорию. Но учетные записи гостей на настольных компьютерах и серверах – это целая «черная червь червей» …


И я недавно натолкнулся на это из Cryptree: Структура дерева папок для криптографических файловых систем . Я думаю, что требование было не совсем правильным (как показывает «Обход проверки на обход» ):

Наверху прав доступа : явно предоставленный доступ к папке подразумевает унаследованный доступ к именам папок-предков папки. Например, при предоставлении рекурсивного доступа Алисе к папке документов /, которая находится в / bob / projects /, Алисе должно быть разрешено автоматически видеть имена своих папок-предков / bob / and / bob / projects /. Не имея возможности увидеть имена родительских папок, было бы невозможно восстановить правильный путь к документам /.

2 Solutions collect form web for “Эквивалент Unix / Linux для проверки обхода байпаса Windows”

Linux не имеет точного эквивалента «проверки обхода обхода». Он использует другие средства для достижения той же политики.

Традиционно домашний каталог пользователя является общедоступным. Пользователи могут создавать подкаталоги для частных файлов и делать их частными. Хорошим свойством разрешений Unix (включая современные схемы ACL) является то, что если какой-либо компонент пути является приватным, файл является приватным, независимо от того, какие разрешения для файла (т. Е. Нет возможности обойти проверку траверсы …) поэтому нет риска, что файл в частной директории будет случайно опубликован. Приложения создают файлы в соответствии с umask по умолчанию; если пользователь задает umask 077, тогда их файлы будут закрыты по умолчанию (по умолчанию umask традиционно 022, делая файлы общедоступными, но недоступными для записи). Приложения, которые ожидают, что содержимое файла является приватным (например, электронные письма), создают личные файлы независимо от umask.

Существует один способ доступа к файлу в частном каталоге другим пользователем: когда файл перемещается, любой процесс, который его открыл, сохраняет свой доступ к файлу. Таким образом, файл, созданный в приватном каталоге, безопасен, но файл, который был перемещен туда, может быть открыт. Это имеет значение только при записи дополнительных данных в файл после его перемещения.

Можно создать представление каталога в другом месте, потенциально с разными разрешениями. Разрешения на представление не зависят от разрешений на обход фактического каталога, только на разрешениях на обход местоположения представления, разрешений на сам каталог и его файлы, и, если применимо, параметры Посмотреть. Представления могут быть созданы с помощью файловой системы bindfs или с монтировкой привязки Linux. См. Раздел Разрешить не-корневому процессу доступ ко всем домашним каталогам без ущерба для безопасности? , Разрешить пользователю читать домашние каталоги других пользователей и Как разрешить доступ только к одной папке NTFS уже смонтированного раздела для определенного пользователя? Например.

В некоторой степени:

В модели разрешений Unix бит r в каталоге позволяет перечислять его содержимое, а бит x позволяет получить дескриптор каталога. Ручка позволяет вам ссылаться на файлы и каталоги в этом каталоге, если вы знаете их имя, и их использование зависит от разрешений на индексный дескриптор этого объекта.

Таким образом, для описываемого вами сценария вы предоставляете разрешение x другим , позволяя всем проходить через этот каталог по пути в public каталог – все остальное в этом каталоге, однако, должно иметь разрешения, чтобы блокировать другие , очевидно.

Это (или обычно) общая конфигурация для каталога public_html в домашнем каталоге пользователя.

  • CUPS не учитывает копии документов
  • uniq показывает повторяющиеся строки
  • Есть ли у Linux эквивалент платформы фильтрации Windows?
  • Каков самый простой способ обернуть существующую Windows с помощью хоста Linux?
  • Проблемы Grub2 и windows10
  • Возможно ли, что X11 можно перенаправить через туннель SSH
  • Как выбрать между Unix / Linux и Windows в среде сервера?
  • Двойная загрузка Windows 10 + Проблемы с Debian
  • не может получить соотношение 16: 9 на kvm, только 16:10 или 4: 3
  • Очень низкая производительность диска на Samba
  • Двойная загрузка Windows 7 и Arch Linux
  • Linux и Unix - лучшая ОС в мире.