permissão de linux negada em arquivos do proprietário

Navegue suas respostas
0

Eu tenho um colega com um problema muito estranho. Usamos um script que nos coloca automaticamente em um diretório de trabalho e, em seguida, todos os arquivos que criamos pertencem a um determinado grupo do qual fazemos parte (não sei o código e não tenho permissão para compartilhá-lo, mas esse não é o problema a propósito). Sempre funcionou bem até 3 semanas atrás. O problema é: Ao criar um arquivo, fica claro que o cara é o proprietário do arquivo e todos (incluindo ele) que fazem parte do grupo podem acessá-lo. Mas se ele fizer um " su " com seu próprio nome de usuário e não for mais considerado como membro do grupo, ele não poderá mais acessar seus arquivos, mesmo que ainda seja o proprietário (isso é para cada arquivo localizado no arquivo). diretório de trabalho). Mesmo com um chmod 777 . Como isso é possível?

(Outras informações: selinux parece desativado, temos as mesmas variáveis de ambiente definidas)

Informação adicionada: Aqui está o que getfacl faz em um arquivo meu: 

$ getfacl 01_EP_Tool_CB65RHS_Douglas.dat  
# file: 01_EP_Tool_CB65RHS_Douglas.dat  
# owner: my_username  
# group: gr-st_name  
user::rw-  
group::rw-  
other::---

Aqui está o mesmo com o outro arquivo: 

$ getfacl resultat_001.xls  
# file: resultat_001.xls  
# owner: other_username  
# group: gr-st_name  
user::rwx  
group::rwx  
other::---

Agora ls -ld : 

$ ll -ld 01_EP_Tool_CB65RHS_Douglas.dat  
-rw-rw---- 1 my_username gr-st_name 2957222 Jul 27 11:28 01_EP_Tool_CB65RHS_Douglas.dat

$ ls -ld resultat_001.xls  
-rwxrwx--- 1 other_username gr-st_name 3014 Jul 27 16:50 resultat_001.xls

Agora, após a conexão, aqui está o resultado de id & groups : 

$ id  
uid=47910(other_username) gid=147910(pgr-other_username) groups=1605(other_group8),2657(other_group9),2999(other_group1),3002(other_group2),3148(other_group3),3161(other_group4),3185(other_group5),3586(other_group6),3588(other_group7),3589(other_group10),3590(other_group11),3591(other_group12),3595(other_group1_d),3792(other_group13),3818(other_group14),3837(other_group14-2),3931(other_group13_s),**3972(gr-st_name)**,4007(other_group15),60419(other_group16),61055(other_group17),61115(other_group18),61123(other_group19),61127(other_group20),147910(pgr-other_username)

$ groups  
pgr-other_username other_group8 other_group9 other_group1 other_group2 other_group3 other_group4 other_group5 other_group6 other_group7 other_group10 other_group11 other_group12 other_group1_d other_group13 other_group14 other_group14-2 other_group13_s **gr-st_name** other_group15 other_group16 other_group17 other_group18 other_group19 other_group20

Depois de entrar no ambiente de trabalho: 

$ id  
uid=47910(other_username) **gid=3972(gr-st_name)** groups=1605(other_group8),2657(other_group9),2999(other_group1),3002(other_group2),3148(other_group3),3161(other_group4),3185(other_group5),3586(other_group6),3588(other_group7),3589(other_group10),3590(other_group11),3591(other_group12),3595(other_group1_d),3792(other_group13),3818(other_group14),3837(other_group14-2),3931(other_group13_s),3972(gr-st_name),4007(other_group15),60419(other_group16),61055(other_group17),61115(other_group18),61123(other_group19),61127(other_group20),147910(pgr-other_username)

$ groups  
**gr-st_name** other_group8 other_group9 other_group1 other_group2 other_group3 other_group4 other_group5 other_group6 other_group7 other_group10 other_group11 other_group12 other_group1_d other_group13 other_group14 other_group14-2 other_group13_s other_group15 other_group16 other_group17 other_group18 other_group19 other_group20 pgr-other_username

Então, depois de su other_username : 

$ id  
uid=47910(other_username) gid=147910(pgr-other_username) groups=1605(other_group8),2657(other_group9),2999(other_group1),3002(other_group2),3148(other_group3),3161(other_group4),3185(other_group5),3586(other_group6),3588(other_group7),3589(other_group10),3590(other_group11),3591(other_group12),3595(other_group1_d),3792(other_group13),3818(other_group14),3837(other_group14-2),3931(other_group13_s),**3972(gr-st_name)**,4007(other_group15),60419(other_group16),61055(other_group17),61115(other_group18),61123(other_group19),61127(other_group20),147910(pgr-other_username)

$ groups  
pgr-other_username other_group8 other_group9 other_group1 other_group2 other_group3 other_group4 other_group5 other_group6 other_group7 other_group10 other_group11 other_group12 other_group1_d other_group13 other_group14 other_group14-2 other_group13_s **gr-st_name** other_group15 other_group16 other_group17 other_group18 other_group19 other_group20

Em relação ao SELinux, ele tem: 

$ cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted

Por que ele faz su com seu próprio nome, é apenas uma maneira de sair do grupo e ficar no mesmo lugar.

Algumas informações novas e possivelmente interessantes. Mesmo que o usuário sempre use o login outro_usuário , existe outra conta que também pertence a ele: yet_another_username . Se eu faço finger neles, ambos dão exatamente a mesma informação (como se eles estivessem meio que sincronizados): 

$ finger other_username
Login: other_username                          Name: some_email_address
Directory: /home/other_username                Shell: /bin/bash
On since Fri Jul 28 10:34 (CEST) on pts/36 from some_machine
    48 minutes 30 seconds idle
On since Fri Jul 28 09:36 (CEST) on pts/82 from some_other_machine
    19 minutes 49 seconds idle
On since Fri Jul 28 10:35 (CEST) on pts/150 from localhost:28.0
   47 minutes 53 seconds idle
On since Fri Jul 28 10:39 (CEST) on pts/170 from localhost:28.0
   44 minutes 25 seconds idle
     (messages off)
No mail.
No Plan.


$ finger yet_another_username
Login: other_username                          Name: some_email_address
Directory: /home/other_username                Shell: /bin/bash
On since Fri Jul 28 10:34 (CEST) on pts/36 from some_machine
    48 minutes 46 seconds idle
On since Fri Jul 28 09:36 (CEST) on pts/82 from some_other_machine
    20 minutes 5 seconds idle
On since Fri Jul 28 10:35 (CEST) on pts/150 from localhost:28.0
   48 minutes 9 seconds idle
On since Fri Jul 28 10:39 (CEST) on pts/170 from localhost:28.0
   44 minutes 41 seconds idle
     (messages off)
No mail.
No Plan.
    
por jeanpisstoute 27.07.2017 / 20:50

1 resposta

1

Existe um limite de 16 grupos além do qual a NFS não pode dizer se você faz parte do grupo, e o grupo que estávamos vendo foi o 18º grupo, daí o problema.

Como não temos raiz neste sistema, não podemos fazer coisas como rpc.mountd -g (visto aqui link ) ou usermod .

Assim, a solução não bonita, mas pragmática, será usar newgrp que colocaremos em .bashrc

    
por 31.07.2017 / 08:45

Tags

Instale o Linux em uma única partição Programe o Windows 10 para criar pontos de restauração e manter apenas o último número X de pontos