Эквивалент Unix / Linux для проверки обхода байпаса Windows

Windows имеет привилегию под названием «Обход проверки на обход» (также известный как SeChangeNotifyPrivilege ). Это позволяет системе обходить проверки ACL в родительских объектах, чтобы пользователь мог [потенциально] обращаться к дочернему объекту.

Пример, вероятно, будет полезен:

<file system> | +-- john.doe | +-- public 

В приведенном выше примере обычно можно сжать каталог john.doe чтобы он имел полный контроль (и, возможно, его группа имела доступ на чтение). Однако public каталог Doe доступен для чтения в мире, чтобы каждый мог видеть, что он делится.

В Windows для проверки приведенного выше сценария будет использоваться проверка обхода байпаса.

Использует ли Unix / Linux эквивалент проверки обхода в обход Windows? Если так, то, что это?

Если нет, как обеспечить доступ к public каталогу, не открывая отверстия безопасности в родительском каталоге?


Интересно, что все мои машины Ubuntu дезактивируют домашний каталог, чтобы каждый мог получить к нему доступ по пути в public каталог, даже учетную запись гостя !!! И учетная запись гостя также позволяет исследовать корневую директорию. Но учетные записи гостей на настольных компьютерах и серверах – это целая «черная червь червей» …


И я недавно натолкнулся на это из Cryptree: Структура дерева папок для криптографических файловых систем . Я думаю, что требование было не совсем правильным (как показывает «Обход проверки на обход» ):

Наверху прав доступа : явно предоставленный доступ к папке подразумевает унаследованный доступ к именам папок-предков папки. Например, при предоставлении рекурсивного доступа Алисе к папке документов /, которая находится в / bob / projects /, Алисе должно быть разрешено автоматически видеть имена своих папок-предков / bob / and / bob / projects /. Не имея возможности увидеть имена родительских папок, было бы невозможно восстановить правильный путь к документам /.

2 Solutions collect form web for “Эквивалент Unix / Linux для проверки обхода байпаса Windows”

Linux не имеет точного эквивалента «проверки обхода обхода». Он использует другие средства для достижения той же политики.

Традиционно домашний каталог пользователя является общедоступным. Пользователи могут создавать подкаталоги для частных файлов и делать их частными. Хорошим свойством разрешений Unix (включая современные схемы ACL) является то, что если какой-либо компонент пути является приватным, файл является приватным, независимо от того, какие разрешения для файла (т. Е. Нет возможности обойти проверку траверсы …) поэтому нет риска, что файл в частной директории будет случайно опубликован. Приложения создают файлы в соответствии с umask по умолчанию; если пользователь задает umask 077, тогда их файлы будут закрыты по умолчанию (по умолчанию umask традиционно 022, делая файлы общедоступными, но недоступными для записи). Приложения, которые ожидают, что содержимое файла является приватным (например, электронные письма), создают личные файлы независимо от umask.

Существует один способ доступа к файлу в частном каталоге другим пользователем: когда файл перемещается, любой процесс, который его открыл, сохраняет свой доступ к файлу. Таким образом, файл, созданный в приватном каталоге, безопасен, но файл, который был перемещен туда, может быть открыт. Это имеет значение только при записи дополнительных данных в файл после его перемещения.

Можно создать представление каталога в другом месте, потенциально с разными разрешениями. Разрешения на представление не зависят от разрешений на обход фактического каталога, только на разрешениях на обход местоположения представления, разрешений на сам каталог и его файлы, и, если применимо, параметры Посмотреть. Представления могут быть созданы с помощью файловой системы bindfs или с монтировкой привязки Linux. См. Раздел Разрешить не-корневому процессу доступ ко всем домашним каталогам без ущерба для безопасности? , Разрешить пользователю читать домашние каталоги других пользователей и Как разрешить доступ только к одной папке NTFS уже смонтированного раздела для определенного пользователя? Например.

В некоторой степени:

В модели разрешений Unix бит r в каталоге позволяет перечислять его содержимое, а бит x позволяет получить дескриптор каталога. Ручка позволяет вам ссылаться на файлы и каталоги в этом каталоге, если вы знаете их имя, и их использование зависит от разрешений на индексный дескриптор этого объекта.

Таким образом, для описываемого вами сценария вы предоставляете разрешение x другим , позволяя всем проходить через этот каталог по пути в public каталог – все остальное в этом каталоге, однако, должно иметь разрешения, чтобы блокировать другие , очевидно.

Это (или обычно) общая конфигурация для каталога public_html в домашнем каталоге пользователя.

  • Попытка двойного загрузочного linux с окнами, не позволяя мне загрузиться в
  • не может получить соотношение 16: 9 на kvm, только 16:10 или 4: 3
  • Проблема установки Kali linux
  • GRUB не будет показывать; Linux Mint и Windows 10 на отдельных дисках
  • Git Bash для Ubuntu / Linux и Windows требует перезагрузки ssh-agent
  • X11 путаница с окнами / solaris / windows config
  • Удаление Ubuntu 12.04 LTS с двойной настройки загрузки и восстановление диспетчера загрузки Windows
  • Как настроить рабочую станцию ​​для нескольких пользователей Linux и Windows?
  • Возможно, разбился раздел из-за изменения таблицы разделов Windows, вредоносного программного обеспечения или ...?
  • После переустановки Linux Mint Windows 7 не загружается
  • Univention UCS - Захват AD - по крайней мере один объект групповой политики все еще отсутствует в SYSVOL
  • Interesting Posts

    CentOS без сетевого интерфейса после установки в VirtualBox

    Где хранятся настройки прокси-сервера?

    Как переустановить Монетный двор Linux? Не заботьтесь о сохранении файлов

    Каталог синхронизации emacs shell

    Почему при запуске с правами user1 и su-user1 -c «команда» получаются разные результаты?

    Выполнение команды на удаленном хосте с интерактивным SSH (условно)

    «Rm. *» Когда-либо удаляет родительский каталог?

    Будет ли wget -k по-прежнему преобразовывать ссылки в относительные пути, если wget остановлен преждевременно?

    Может ли ядро ​​гостевой виртуальной машины KVM быть более поздним, чем его хост? (Когда аппаратная пересылка действует)

    Нужно ли увеличить размер исходного раздела, если я просто восстанавливаю содержимое (с помощью dd)?

    остановить параллельную обработку для инициированного cron процесса

    «watch-ing curl» дает неожиданный выход

    sudo: извините, вам не разрешено устанавливать следующие переменные среды

    Upstart – когда происходит определенное событие, в каком порядке выполняются задания?

    Хранение терминала xterm в режиме реального времени на crunchbang linux debian wheezy

    Linux и Unix - лучшая ОС в мире.