Chcia\u0142abym opisa\u0107 wczorajsz\u0105 sytuacj\u0119 z irc. A mianowicie, by\u0142am kr\u00f3liczkiem do\u015bwiadczalnym pewnego znajomego, zawodowego admina. Eksperyment zwi\u0105zany by\u0142 z udost\u0119pnieniem folder\u00f3w po nfs. Podobn\u0105 sytuacj\u0119 mamy w przypadku dysk\u00f3w windowsowych, wi\u0119c tutaj nie powiedzia\u0142abym o s\u0142abo\u015bci jakiej\u015b tego rozwi\u0105zania.
\n
\nA mianowicie, warto zapami\u0119ta\u0107 jedn\u0105 zasad\u0119, o kt\u00f3r\u0105 milcz\u0105 manuale. ZABEZPIECZENIA NA POZIOMIE SYSTEMU PLIK\u00d3W DZIA\u0141AJ\u0104 TAK, JAK BY\u015aMY CHCIELI TYLKO NA SYSTEMIE NA KT\u00d3RYM JE NA\u0141O\u017bYMY!!!.<\/p>\n
Dla zobrazowania sytuacji, poka\u017c\u0119 pewnien ocenzurowany log (nick zosta\u0142 podmieniony na cenzura )<\/p>\n
01:45 <cenzura> root@host:\/home\/cenzura# ls -la \/media\/storage\/\r\n01:45 <cenzura> razem 8\r\n01:45 <cenzura> drwxrwxrwt 2 root root 4096 05-02 01:41 .\r\n01:45 <cenzura> drwxr-xr-x 4 root root 4096 05-02 00:54 ..\r\n01:45 <cenzura> -rw-r--r-- 1 cenzura sudo 0 05-02 01:42 dupacenzura\r\n01:45 <cenzura> -rw-r--r-- 1 nobody nogroup 0 05-02 01:41 duparoot\r\n01:45 <cenzura> root@host:\/home\/cenzura# \r\n01:46 <piatkosia> wszystkich poza tob\u0105 widz\u0119 jako nobody nogroup\r\n01:46 <piatkosia> a ciebie widz\u0119 jako siebie:p\r\n01:46 <cenzura> ?\r\n01:46 <piatkosia> uid mismatch\r\n01:46 <piatkosia> drwxrwxrwt 2 root root 4096 05-02 01:45 .\r\n01:46 <piatkosia> drwxr-xr-x 9 root root 4096 05-02 00:48 ..\r\n01:46 <piatkosia> -rw-r--r-- 1 piatkosia sudo 0 05-02 01:42 dupacenzura\r\n01:46 <piatkosia> -rw-r--r-- 1 nobody nogroup 0 05-02 01:41 duparoot<\/pre>\nDla wyja\u015bnienia. Zar\u00f3wno ja jak i osobnik o nicku cenzura listujemy ten sam katalog, podmontowany pod 2 inne systemy operacyjne (byli\u015bmy w sieci lokalnej (konkretnie, po vpn, podono mog\u0142o mie\u0107 to wp\u0142yw, nie testowa\u0142am), do mountowania dysku u\u017cyto komendy mount.nfs 10.3.2.26:\/jakas\/sciezka \/jeszcze\/inna\/sciezka ) gdzie ip i \u015bcie\u017cki wzi\u0119\u0142am z dupy zupe\u0142nie;)<\/p>\n
Co tutaj si\u0119 sta\u0142o? Polecenie ls w polu usera wstawia nazw\u0119, tak\u0105, jaka pasuje do uid w naszym systemie lokalnym. Dlatego widz\u0119, jakbym by\u0142a w\u0142a\u015bcicielem pliku owego znajomego. Oboje na swoich lokalnych maszynach mamy UID 1000 (zwykle pierwszy „zwyk\u0142y” tzn niesystemowy u\u017cytkownik, tworzony w trakcie lub zaraz po instalacji). Roota pokazuje zawsze, poniewa\u017c jest w ka\u017cdym systemie i ma zerowy UID. Podobnie z grupami, tylko podaje GID. Pytanie co z nobody nogroup? Ano prawdopodobnie jest to zdalna robota i nie mamy danego UID w systemie. Bo jak jest nieznany, to w\u0142a\u015bnie tak poka\u017ce. Inna sytuacja, to je\u015bli faktycznie napisa\u0142 nobody:ppp
\nTak, i to w\u0142a\u015bnie drogi cenzura jest powodem, dlaczego ci sticky bit nie dzia\u0142a\u0142. Po prostu by\u0142am wg mojego systemu u\u017cytkownikiem, na kt\u00f3ry \u00f3w bit zosta\u0142 ustawiony i w\u0142a\u015bnie dlatego skasowa\u0142am ci e-booki, cho\u0107 twoim zdaniem nie powinnam:)
\nKiedy zaobserwowany UID mismatch jest gro\u017any? A no za\u0142\u00f3\u017cmy \u017ce s\u0105 tam pliki roota i root odbierze prawa zapisu, etc. Ale zapomina, \u017ce przecie\u017c jako root kto\u015b ten udzia\u0142 podmountowa\u0142, wi\u0119c ma roota na lokalnej maszynie, a skoro tak, system nie b\u0119dzie wiedzia\u0142, \u017ce to wprowadzi\u0142 INNY root, bo z g\u0142\u00f3wnych prawd wiary systemu wynika:
\n1. jest jeden root
\n2. root jest s\u0119dzi\u0105 sprawie… co? Dobra, dalej przestaje pasowa\u0107:)<\/p>\nwi\u0119c system nie wie o innym roocie. Ma jednego roota w \/etc\/passwd i je\u017celi jeste\u015b na niego zalogowany, wszystko co ma etykietk\u0119 root (i ka\u017cd\u0105 inn\u0105) jest twoje.<\/p>\n
Kiedy jeszcze mo\u017cemy zauwa\u017cy\u0107 podobne co\u015b? Ano wystarczy wypi\u0105\u0107 dysk i wpi\u0105\u0107 go pod inny system operacyjny, mo\u017ce by\u0107 tego samego typu, ale nie ten fizycznie na kt\u00f3rym to robili\u015bmy (np drugi windows czy drugi linux, zale\u017cy jaki by\u0142 ten pierwszy). Tak padaj\u0105 zabezpieczenia na poziomie ext3, ext4 czy ntfs. Jest to zwi\u0105zane z tym, jak owe systemy plik\u00f3w zapisuj\u0105 informacje o uprawnieniach. Poprawnie rozumie je tylko system, na kt\u00f3rym zosta\u0142y ustawione.<\/p>\n
Jak si\u0119 przed tym uchroni\u0107, w przypadku nfs? Folder do odczytu da\u0107 w trybie ro na poziomie nfsa, za\u015b folder do zapisu da\u0107 rw. Do tego do\u0142\u0105czy\u0107 skrypt odpalany okresowo (np co minut\u0119), kt\u00f3ry przeniesie wszystkie pliki do ro. I teraz mo\u017cemy znajomym po lanie udost\u0119pnia\u0107 materia\u0142y bez obawy o ich przypadkowe usuni\u0119cie;)<\/p>\n
No dobra, chyba namiesza\u0142am, lec\u0119 na irc:)<\/p>\n","protected":false},"excerpt":{"rendered":"
Chcia\u0142abym opisa\u0107 wczorajsz\u0105 sytuacj\u0119 z irc. A mianowicie, by\u0142am kr\u00f3liczkiem do\u015bwiadczalnym pewnego znajomego, zawodowego admina. Eksperyment zwi\u0105zany by\u0142 z udost\u0119pnieniem folder\u00f3w po nfs. Podobn\u0105 sytuacj\u0119<\/p>\n