Permitir acesso não root a / pasta raiz

5

Eu tenho uma pasta que normalmente vive em / root e geralmente é usada por um usuário root. Eu preciso permitir que outro usuário (diferente de root) o use agora, mas ele precisa permanecer sob / root. Isso é possível?

EDIT: Obrigado a todos pelos comentários e ajuda. Nós entendemos as reprecussões de segurança disso e entendemos completamente o que estamos pedindo. Então, removendo todas as preocupações de segurança, o que é uma maneira de fazer isso? Obrigado.

    
por mjouni 07.06.2011 / 10:52

2 respostas

7

Primeiro de tudo, você está fazendo errado. Há algo fundamentalmente errado com a maneira como você está tentando fazer isso. Seu software ficará melhor se você tentar entender o modelo normal de segurança e permissões do UNIX e trabalhar com ele em vez de combatê-lo / quebrá-lo.

A única maneira que eu posso pensar em fazer o que você quer, sem gastar mil furos nas permissões do sistema de arquivos, é configurar a pasta em questão com permissões baseadas em grupo e em grupo e montá-la em outro lugar usando uma ligação. -mount para que possa ser acessado por um caminho acessível pelo usuário em vez de dentro / root. Os dados podem ficar lá, mas usuários não-root não devem conseguir colocar a cabeça lá, então ele precisa de um identificador em outro lugar no sistema de arquivos. Você não pode ligar simbolicamente a ele, porque isso apenas o encaminhará de volta através de / root, mas uma configuração de montagem de ligação antecipadamente pelo root deve fornecer um caminho alternativo que possa ser alcançado como um usuário não-root.

Editar: No caso esclarecido nos comentários de ter um aplicativo com um caminho codificado, nenhuma das coisas que eu ou Alkdae sugerir vai realmente funcionar. Como um trabalho temporário , sugiro garantir que tudo que estiver na raiz seja sensível, como /root/.ssh , como root:root e marcado como 0600 ou outras permissões restritivas. Em seguida, mova tudo em /root que não precise estar lá em uma subpasta como /root/root_files e certifique-se de que é root:root 0600 também. Quando tiver certeza de que não há nada lá para ser visto ou explorado, defina a propriedade do grupo em /root para algum grupo especial, como o temproot, e configure-o para ser navegável por esse grupo (mas NÃO mundo ou grupo de usuários normal!). Em seguida, adicione seus usuários especiais a esse grupo e defina os arquivos em /root usados por esse aplicativo java como pertencentes a root:temproot com permissões de gravação / execução do grupo, conforme apropriado.

Assim que você puder corrigir o aplicativo java ofensivo, salve tudo no root de volta para root:root .

    
por 07.06.2011 / 11:02
4

Você pode mover a pasta para fora de / root e criar um link para ela. Dessa forma, você ainda terá em sua pasta e poderá definir permissões para que outras pessoas o acessem.

Permitir que outras pessoas vejam o interior / root é simplesmente errado.

    
por 07.06.2011 / 11:11