3 votos

Permiso denegado para el enlace simbólico al ejecutable en el directorio nfs montado con el sticky bit habilitado

Tenemos una exportación de NFS para cualquiera de nuestros usuarios para instalar y mantener el software útil para la red montada en /público en nuestros clientes. En el servidor NFS, este directorio es el mundo de la escritura con el bit pegajoso(como /tmp).

Uno de los usuarios de este servicio tiene un enlace simbólico en /pública a un archivo ejecutable. Ya hemos actualizado nuestras estaciones de trabajo de Ubuntu 9.04 a las 10.10, tenemos permiso denegado cuando tratamos de ejecutar este archivo a través del enlace simbólico. Si se elimina el bit pegajoso (sticky, ya no estamos permiso denegado.

No he encontrado nada en nuestros registros o salida de dmesg. Es esta una aplicación de armadura, o un error introducido entre Ubuntu 9.04 y 10.10?

4voto

Sergey Vlasov Puntos 3888

Es probable que vea el efecto de un enlace simbólico del endurecimiento de la seguridad introducido desde Ubuntu 10.10. Esta característica puede ser desactivada a través de la /proc/sys/kernel/yama/protected_sticky_symlinks.

En Debian, esta característica puede ser desactivada mediante la adición de la siguiente /etc/sysctl.conf:

fs.protected_symlinks = 0

Otra variación de este tema es kernel.grsecurity.linking_restrictions - este es uno de muchos sysctl opciones añadidas por el grsecurity parche.

En la actualidad (2012-04-19) el enlace simbólico función de protección no se ha fusionado en el kernel, aunque hay algunos esfuerzos recientes para combinar el Debian variación de la revisión (junto con algunos otros endurecimiento de los cambios).

1voto

Jeff Puntos 180

Mi Linux Mint Debian cuadro parece ser que han de experimentar algo muy similar a la del enlace simbólico para reforzar la seguridad de que Sergey describe en su respuesta.

Si se está ejecutando Debian, añada lo siguiente a su /etc/sysctl.conf:

fs.protected_symlinks = 0

0voto

alexus Puntos 3968

ello, y adjuntar aquí:

cat /etc/exports

también, echa un vistazo a los siguientes: SettingUpNFSHowTo - Comunidad de Documentación de Ubuntu

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: