Zákaz procházení adresářové struktury pro uživatele (vyřešeno)

K tomuhle slouží na souborovém systému oprávnění. K tomu, co popisujete, stačí klasická unixová oprávnění – každý soubor má přiřazeného uživatele (vlastníka) a skupinu, a má určená oprávnění pro vlastníka, skupinu a pro ostatní. Pokud je uživatel shodný s vlastníkem souboru, uplatní se na něj oprávnění pro vlastníka, pokud je členem skupiny, které patří soubor, uplatní se na něj práva skupiny, v ostatních případech se na něj uplatní práva pro ostatní. Pozor, vyhodnocuje se to v tomhle pořadí a první vyhrává, tj. pokud je uživatel vlastník souboru a zároveň je členem skupiny souboru, uplatní se jen práva vlastníka a pro daného uživatele je úplně jedno, jaká jsou nastavena práva pro skupinu. Práva jsou tři, r (read), w (write) a x (eXecute). Na souborech znamená právo r právo číst obsah souboru, právo w právo soubor editovat, a právo x právo soubor spustit (jako spustitelnou binárku – nevztahuje se to na skripty, tam spouštíte binárku interpretu a ta pouze čte soubor se skriptem). Na adresáři znamená právo r právo vypsat seznam souborů v adresáři, právo w znamená možnost vytvářet, přejmenovávat a mazat soubory v adresáři, právo x znamená právo vstoupit do adresáře (udělat do něj cd) – bez toho práva se nedostanete ani do podadresářů (když uděláte cd /a/b/c a nemáte právo x na /a, dovnitř se nedostanete, interně se to provádí jako tři postupné skoky vždy o jeden adresář.) Pozor na to, že i běžný uživatel potřebuje oprávnění číst na spoustu souborů v /etc, na druhou stranu v běžných distribucích jsou výchozí práva nastavena rozumně, takže běžný uživatel nebude mít práva zapisovat třeba nikam do /etc.

Omezovat přístup až na úrovni konkrétních programů, jak tady píšou ostatní, je spíš taková obezlička, vždycky v tom programu může být nějaká chyba nebo si neuvědomíte nějakou interakci a uživatel vám z toho omezení uteče. To, co jsem popsal já, jsou oprávnění přímo na úrovni operačního systému, ty žádný program neobejde, i kdyby se na hlavu stavěl.

27.1.2016 19:42 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

… leda by zneužil díru v jádře (viz rootování Android telefonů).

Jinak pokud jde o to, aby uživatel neviděl obsah adresáře, lze tam ponechat x, ale odebrat r, takže pokud zná název souboru, může k němu, ale nezjistí, jaké další soubory tam jsou. Běžně se to nastavuje u různých adresářů ve /var/spool.

Pak je tam ještě pár dalších věcí, konkrétně sticky bit, SUID a SGID bity – unix oprávnění josu čtyři číslice v osmičkové soustavě. O komentář výše jsou popsané poslední tři.

Doporučuji si přečíst nějaké povídání o tomto, nejspíš zjistíš, že to opravdu stačí.

Hello world ! Segmentation fault (core dumped)

27.1.2016 22:43 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

a právo x právo soubor spustit (jako spustitelnou binárku – nevztahuje se to na skripty, tam spouštíte binárku interpretu a ta pouze čte soubor se skriptem).

No ale to myslíš snad jen skripty, které spouštíš např. perl skript.pl, ale když máš skript script na jehož začátku mám #!/usr/bin/perl a potom pokračuje kód v perlu, tak mu musíš přiřadit x jinak ti shell oznámí, že ho nespustí. (a tomuto říkáme také skript). Tedy alespoň u mne. To co napsal mne překvapilo a tak jsem zkusil skriptům odebrat x.

28.1.2016 01:43 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

To zmotal s SUID bitem. Právno na spuštění potřebuješ jak u interpretu, tak u skriptu.

Hello world ! Segmentation fault (core dumped)

28.1.2016 13:03 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

Kecas.

~$ cat kecas.sh 
#!/bin/sh
echo Kecas
~$ ls -l kecas.sh 
-rw-rw-r-- 1 user user 21 led 28 13:01 kecas.sh
~$ bash kecas.sh 
Kecas

28.1.2016 13:22 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

Na to abys ten skript spustil. Tedy abys mohl udělat:

./kecas.sh

To, že ručně spustíš interpret je o něčem jiném. Navíc v tomto případě spouštíš jiný interpret, než jaký je uveden ve skriptu.

Hello world ! Segmentation fault (core dumped)

28.1.2016 14:39 Filip Jirsák
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

Z pohledu oprávnění je to tak, že odebráním práva x skriptu nezabráníte jeho spuštění. Interpretaci #! na začátku skriptu dělá shell, takže si klidně můžete napsat shell, který vám ./script.pl spustí, i když nebude mít právo x. Na druhou stranu když máte nějaký binární program bez práva x, ale s právem r, taky vám nic nebrání udělat si jeho kopii a té právo x nastavit a program spustit. Takže ve výsledku je to vlastně stejné.

28.1.2016 15:47 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

Interpretaci #! na začátku skriptu dělá shell, [...]

Ne. Tu interpretaci dělá jádro.

Hello world ! Segmentation fault (core dumped)

28.1.2016 16:38 Filip Jirsák
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

Aha. Obecně na unixových systémech to dělá shell, ale někde to je zjevně zadrátované i do jádra.

28.1.2016 22:41 pako
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

No já nevím. Podíval jsem se na další UNIXový systém (Solaris) a dělá to úplně stejně jako Linux. Rodič (shell kde to pouštím) udělá fork() a pak nový proces zalidní execve("./test.csh"...). Do teď jsem byl přesvědčen, že systémová volání nejsou zpracovávána shellem. Takže si nejsem jistý ani správností ani obecností tvrzení, že to dělá shell.

28.1.2016 23:50 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

Kdyby to dělal shell, tak by to naprosto postrádalo pointu celé té věci. Jsem si celkem jistý, že to bude záležitostí jádra všude, co jen trochu smrdí unixem, tedy vyjma Windows, kde to je podle přípony.

Hello world ! Segmentation fault (core dumped)

29.1.2016 08:13 Filip Jirsák
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

man bash

COMMAND EXECUTION
If the command name contains no slashes, the shell attempts to locate it. […]
If the name is neither a shell function nor a builtin, and contains no slashes, bash searches each element of the PATH for a directory containing an executable file by that name. […]
If the search is successful, or if the command name contains one or more slashes, the shell executes the named program in a separate execution environment. Argument 0 is set to the name given, and the remaining arguments to the command are set to the arguments given, if any.
If this execution fails because the file is not in executable format, and the file is not a directory, it is assumed to be a shell script, a file containing shell commands. A subshell is spawned to execute it. This subshell reinitializes itself, so that the effect is as if a new shell had been invoked to handle the script, with the exception that the locations of commands remembered by the parent (see hash below under SHELL BUILTIN COMMANDS) are retained by the child.
If the program is a file beginning with #!, the remainder of the first line specifies an interpreter for the program. The shell executes the specified interpreter on operating systems that do not handle this executable format themselves. The arguments to the interpreter consist of a single optional argument following the interpreter name on the first line of the program, followed by the name of the program, followed by the command arguments, if any.

man zshmisc

COMMAND EXECUTION If a command name contains no slashes, the shell attempts to locate it. […]
Otherwise, the shell searches each element of $path for a directory containing an executable file by that name. If the search is unsuccessful, the shell prints an error message and returns a nonzero exit status.
If execution fails because the file is not in executable format, and the file is not a directory, it is assumed to be a shell script. /bin/sh is spawned to execute it. If the program is a file beginning with `#!', the remainder of the first line specifies an interpreter for the program. The shell will execute the specified interpreter on operating systems that do not handle this executable format in the kernel.

(Až k té části „pokud to nedělá kernel“ jsem poprvé nedočetl, proto jsem byl přesvědčen, že to dělá jenom shell.)

28.1.2016 14:50 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

Nesouhlasím. Chroot/jail je dobrý, že chci třeba zamaskovat obsah "/etc/passwd" a "/etc/group", s jailem to udělám, bez něj nikoli.
A proč maskovat tyto soubory? Mno, třeba nechci,aby uživatel viděl, kdo všechno má na server přístup.
Těch důvodů, proč dělat chroot/jail je více. A navíc, to že někdo dělá chroot / jail neznamená, že musí mít nutně bordel v oprávnění v systému. Člověk by měl mít jednak pořádek v oprávněních + třeba u hostingu je vhodné mít další vrstvu navíc a mít uživatele v jailu.
Resp. pořešený oprávnění v rámci systému + jail + acl + třeba i selinux.
Já prostě nevidím důvod, proč nemít více ochranných vrstev.
Zdar Max

Měl jsem sen ... :(

28.1.2016 15:10 Filip Jirsák
Rozbalit Rozbalit vše Re: Zákaz procházení adresářové struktury pro uživatele

Více ochranných vrstev klidně může být. Ale nikdo tu nenapsal, že se takováhle věc řeší především nastavením souborových oprávnění, a teprve pak případně můžu přidávat další vrstvy. Navíc chroot funguje jen pro vzdálený přístup, chroot pro lokální přístup by asi znamenalo dost ohackovat login a bůhví, jak by to pak fungovalo.

Dotaz: Zákaz procházení adresářové struktury pro uživatele

Odpovědi