Cosa c'è di così speciale nell'autorizzazione Linux 004?

23

Stavo leggendo Practical Unix e Internet Security , quando mi sono imbattuto nelle seguenti righe che non riuscivo a comprendere.

Se si utilizza il server di archiviazione wu, è possibile configurarlo in modo tale che i file caricati vengano caricati in modalità 004 , in modo che non possano essere scaricati da un altro client . Ciò fornisce una protezione migliore rispetto al semplice rendere la directory illeggibile , in quanto impedisce alle persone di caricare file e quindi dire ai loro amici il nome esatto da scaricare.

Un'autorizzazione di 004 corrisponde a -------r--. Non è possibile scaricare un file se ha accesso in lettura? Inoltre, perché è considerato migliore della semplice lettura della directory? Cosa implica questo?

Nota: ciò riguarda gli utenti non autorizzati che lasciano materiale illegale e protetto da copyright sui server che utilizzano FTP anonimo. La soluzione di cui sopra è stata suggerita per impedire ciò insieme a uno script che elimina il contenuto della directory dopo un periodo di tempo.

files  permissions 
Aswin PJ
fonte
In particolare, sembra fare riferimento a WU-FTP , di fama wuarchive.wustl.edu.
Parthian Shot il
2
qui si intende UMASK 004 e non un permesso!
Afsin Toparlak,
3
@AfsinToparlak no, questo è sicuramente un permesso positivo, non un umask. Vedi la risposta accettata
o11c,
"Non è possibile scaricare un file se ha accesso in lettura" Non è del tutto corretto. Tutti tranne l'utente e il gruppo che possiede il file hanno accesso in lettura.
scai,
1
Per quanto riguarda la " Questo fornisce una protezione migliore rispetto semplicemente facendo la directory illeggibile, in quanto impedisce alle persone di caricare file e poi raccontare i loro amici il nome del file esatto per il download. " ... un trucco in precedenza era di fare un qualcosa di un'area di upload simile 333( oppure d-wx-wx-wx) che consente alle persone (utenti FTP) di creare file, ma poiché non esiste l'autorizzazione di lettura [nella directory], non è possibile elencare i file nella directory di caricamento. Tuttavia, se si conosceva il nome, è possibile leggere / scaricare i file.
TripeHound,

Risposte:

33

Le autorizzazioni 004 (------ r--) indicano che il file può essere letto solo da processi che non sono in esecuzione come lo stesso utente o lo stesso gruppo del server FTP. Questo è piuttosto insolito: di solito l'utente ha più diritti del gruppo e il gruppo ha più diritti degli altri. Normalmente l'utente può modificare le autorizzazioni, quindi è inutile dare autorizzazioni più restrittive all'utente. Ha senso qui perché il server FTP (presumibilmente) non ha un comando per cambiare i permessi, quindi i file manterranno i loro permessi fino a quando qualcos'altro li cambierà.

Poiché l'utente che il server FTP è in esecuzione in quanto non è in grado di leggere i file, le persone non saranno in grado di scaricare il file. Ciò rende impossibile utilizzare il server FTP per condividere file.

Presumibilmente un processo in esecuzione come un altro utente e gruppo legge il file ad un certo punto, verifica che sia conforme a qualche politica, copia i dati se lo fa ed elimina il file caricato.

Avrebbe avuto più senso per me dare al file le autorizzazioni 040 (leggibile solo dal gruppo) e far funzionare il processo consumer come lo stesso gruppo del server FTP, ma un utente diverso.

Gilles 'SO- smetti di essere malvagio'
fonte
1
@Cthulhu: anche il processo del server FTP appartiene a "all". Ma le autorizzazioni UNIX non vengono cercate. Viene presa in considerazione solo una tripletta di diritti, e questo è un controllo pass / fail. (A differenza di Windows ACL che hanno superato / fallito / guardare oltre)
MSalters
8

La maschera dei permessi ottali 004corrisponde a una maschera dei permessi simbolica il u=,g=,o=rche significa che (u)serchi possiede il file non può leggerlo o scriverlo o eseguirlo, e nemmeno altri utenti possono essere uguali (g)roupall'utente che possiede il file. Solo gli (o)therutenti che non sono né il proprietario, né nello stesso gruppo del proprietario, sono in grado di leggere il file.

godlygeek
fonte
1
qui si intende UMASK 004 e non un permesso!
Afsin Toparlak,
4
@AfsinToparlak: no, è un esplicito consenso . Vedi risposta accettata
TripeHound,
6

Sì, ma il file è di proprietà dell'utente. Quindi il client stesso ha l'autorizzazione 0 (utente) sul file e non può leggerlo.

Puoi testarlo tu stesso:

echo TEST > myTestFile;
chmod 004 myTestFile;
cat myTestFile;
chmod 700 myTestFile;
cat myTestFile;

Il terzo passo genererà un errore.

Jodka Lemon
fonte
Quindi quando un file viene caricato solo quell'utente ottiene l'autorizzazione di lettura per il file e tutti gli altri ottengono 000? Ho ragione? Puoi per favore espandere la tua risposta?
Aswin PJ,
1
Ho trovato il libro e il capitolo riguarda la protezione di una directory pubblica che è scrivibile per client ftp anonimi. Qualsiasi client anonimo apre il file come lo stesso uid di qualsiasi altro client anonimo, quindi un file creato è creabile da anonimo ma non leggibile da anonimo. È leggibile da qualsiasi altro uid sul sistema.
Jodka Lemon,
@hope: ogni cifra in una stringa ottale di autorizzazione rappresenta 4 bit: set-id, read, write ed exec, in questo ordine. Pertanto, 7 significa che i bit di lettura, scrittura ed esecuzione sono tutti impostati. La prima cifra è l'autorizzazione per il proprietario, ecc. Quindi non ha senso dire che gli altri ottengono 000. L'altro diventa giusto 0. La risposta di Gilles è la migliore spiegazione di ciò che 004effettivamente fa un'impostazione di autorizzazione .
Peter Cordes,
Il terzo passo è scrivere, non leggere.
Smetti di fare del male a Monica il
@OrangeDog Hai ragione. L'ho corretto.
Jodka Lemon,
-1

Sembra più probabile che significhi che eventuali autorizzazioni sono mascherate da 004, ovvero che altri utenti non possono leggere il file. Ciò servirebbe a proteggere il file dagli altri utenti del sistema (in una certa misura).

Nathan Ringo
fonte
No, come altri hanno spiegato, il server ftp imposta le autorizzazioni in 004modo che l'utente che lo ha caricato e tutti gli altri utenti di ftp (almeno quelli anonimi) non possano accedere al file fino a quando non è stato controllato (quando sarebbe stato nuovamente autorizzato e probabilmente spostato / rinominato in un luogo appropriato). Luoghi come WU Archive erano spesso (mis) usati nel passato oscuro e remoto come siti di condivisione di file se cose come questa non venivano messe in atto.
TripeHound,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.