Permissão negada por symlink para executável no diretório montado do nfs com o sticky bit ativado

Question

Permissão negada por symlink para executável no diretório montado do nfs com o sticky bit ativado

#1 resposta do (4 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

3

Temos uma exportação NFS para qualquer um dos nossos usuários para instalar e manter software útil para a rede montada em / public em nossos clientes. No servidor NFS, esse diretório é mundialmente gravável com o conjunto de bits fixos (como / tmp).

Um dos usuários deste serviço possui um link simbólico em / public para um arquivo executável. Desde que atualizamos nossas estações de trabalho do Ubuntu 9.04 para o 10.10, obtemos permissão negada quando tentamos executar este arquivo através do link simbólico. Se removermos o bit adesivo, não seremos mais negados.

Eu não encontrei nada em nossos registros ou no dmesg. Isso é um recurso de armadura de aplicativo ou um bug introduzido entre o Ubuntu 9.04 e 10.10?

symbolic-link nfs linux file-permissions

por Jeff Strunk 27.06.2011 / 19:10

3 respostas

1

A caixa "My Linux Mint" do Debian parece ter algo muito semelhante ao endurecimento de segurança do symlink que o Sergey descreveu em sua resposta.

Se você está rodando Debian, adicione o seguinte ao seu /etc/sysctl.conf :

fs.protected_symlinks = 0

por 18.04.2012 / 01:01

0

faça isso e anexe aqui:

cat /etc/exports

veja também: SettingUpNFSHowTo - Documentação do Ubuntu da comunidade

por 17.04.2012 / 22:28

Tags symbolic-link nfs linux file-permissions

Maneira fácil de implantar sites PHP a partir do git Como fazer com que o ssh / rsync / etc use uma interface de rede VLAN?

score 4 · Accepted Answer

Você provavelmente verá o efeito do hardening de segurança do symlink introduzido desde o Ubuntu 10.10. Este recurso pode ser desativado em /proc/sys/kernel/yama/protected_sticky_symlinks .

No Debian, este recurso pode ser desativado adicionando o seguinte em /etc/sysctl.conf :

fs.protected_symlinks = 0

Ainda outra variação deste tema é kernel.grsecurity.linking_restrictions - esta é uma das muitas opções de sysctl adicionadas pelo patch de segurança .

Atualmente (2012-04-19) o recurso de proteção de links simbólicos não foi mesclado no kernel upstream, embora haja alguns esforço recente para mesclar a variação Debian do patch (junto com algumas outras mudanças de proteção).