Re: [rlug] De ce nu am drept de ls pe un director?
În cele din urmă am aflat ce cauza funcționalitatea asta ciudată - se pare că NAS-ul rulează un kernel cu un patch trustees care îl face să ignore permisiunile POSIX și să aplice cu totul alte permisiuni: http://mockmoon-cybernetics.ch/computer/wdh1nc1/trustees.html Acum pot să dorm mai liniștit noaptea... 2013/10/1 Adrian Popa adrian.popa...@gmail.com Solved: Am reușit să îl fac să meargă, deși nu înțeleg unde e implementată limitarea. Soluția: am folosit interfața web de management să creez useri și să dau permisiuni pe share-urile generate. După ce am dat permisiunile respective am avut și acces. Ciudat e că din punct de vedere al drepturilor la nivel de filesystem, lucrurile arată ca și până acum... Nu mi-e clar deloc cum e implementată restricția - miroase a selinux, dar nu văd urme pe nicăieri... ~ $ id uid=503(adrianp) gid=1000(jewab) ~ $ ls -ld /shares drwxr-xr-x8 root jewab4096 Sep 30 13:29 /shares ~ $ ls -ld /shares/Kits drwxrwxrwx3 root jewab 20 Sep 30 12:26 /shares/Kits ~ $ ls -ld /shares/Kits/android drwxrwxrwx3 adrianp root 22 Oct 1 10:02 /shares/Kits/android ~ $ Mulțumesc tuturor pentru sugestii. Dacă aveți idee care e mecanismul de restricționare mi-ar plăcea să aflu și eu și să mai învăț ceva nou. (Înainte pe NAS aveam un firmware mai vechi care nu avea sistemul ăsta de permisiuni, dar după ce i-am făcut upgrade, se pare că au apărut feature-uri noi). 2013/9/30 Adrian Popa adrian.popa...@gmail.com Uite așa arată mount vs /proc/mounts: [root@aldebaran ~]# mount securityfs on /sys/kernel/security type securityfs (rw) /dev/md2 on /DataVolume type xfs (rw,usrquota) /dev/md4 on /ExtendVolume type xfs (rw,usrquota) [root@aldebaran ~]# cat /proc/mounts rootfs / rootfs rw 0 0 /dev/root / ext3 rw,noatime,data=ordered 0 0 proc /proc proc rw 0 0 sys /sys sysfs rw 0 0 /dev/pts /dev/pts devpts rw 0 0 securityfs /sys/kernel/security securityfs rw 0 0 /dev/md3 /var ext3 rw,noatime,data=ordered 0 0 /dev/md2 /DataVolume xfs rw,noatime,uqnoenforce 0 0 /dev/ram0 /mnt/ram tmpfs rw 0 0 /dev/md2 /shares/Public xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Download xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Kits xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Movies xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Music xfs rw,noatime,uqnoenforce 0 0 Share-urile respective sunt făcute din sistemul lui de management (teoretic sunt exportate ca share-uri samba/nfs). 2013/9/30 Nicu lucrari.in.pregat...@gmail.com 2013/9/30 Nicu lucrari.in.pregat...@gmail.com 2013/9/30 Adrian Popa adrian.popa...@gmail.com Cred că dacă ar fi fost bind-mounted, ar fi apărut în output-ul lui mount, nu? În cazul meu nu apare. Directoarele au un hard link count 1: uita-te si-n /proc/mounts si-n plus, sistemul ala poate ca foloseste clone(CLONE_NEWNS) -- desi eu n-am intilnit pina acum. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] De ce nu am drept de ls pe un director?
Solved: Am reușit să îl fac să meargă, deși nu înțeleg unde e implementată limitarea. Soluția: am folosit interfața web de management să creez useri și să dau permisiuni pe share-urile generate. După ce am dat permisiunile respective am avut și acces. Ciudat e că din punct de vedere al drepturilor la nivel de filesystem, lucrurile arată ca și până acum... Nu mi-e clar deloc cum e implementată restricția - miroase a selinux, dar nu văd urme pe nicăieri... ~ $ id uid=503(adrianp) gid=1000(jewab) ~ $ ls -ld /shares drwxr-xr-x8 root jewab4096 Sep 30 13:29 /shares ~ $ ls -ld /shares/Kits drwxrwxrwx3 root jewab 20 Sep 30 12:26 /shares/Kits ~ $ ls -ld /shares/Kits/android drwxrwxrwx3 adrianp root 22 Oct 1 10:02 /shares/Kits/android ~ $ Mulțumesc tuturor pentru sugestii. Dacă aveți idee care e mecanismul de restricționare mi-ar plăcea să aflu și eu și să mai învăț ceva nou. (Înainte pe NAS aveam un firmware mai vechi care nu avea sistemul ăsta de permisiuni, dar după ce i-am făcut upgrade, se pare că au apărut feature-uri noi). 2013/9/30 Adrian Popa adrian.popa...@gmail.com Uite așa arată mount vs /proc/mounts: [root@aldebaran ~]# mount securityfs on /sys/kernel/security type securityfs (rw) /dev/md2 on /DataVolume type xfs (rw,usrquota) /dev/md4 on /ExtendVolume type xfs (rw,usrquota) [root@aldebaran ~]# cat /proc/mounts rootfs / rootfs rw 0 0 /dev/root / ext3 rw,noatime,data=ordered 0 0 proc /proc proc rw 0 0 sys /sys sysfs rw 0 0 /dev/pts /dev/pts devpts rw 0 0 securityfs /sys/kernel/security securityfs rw 0 0 /dev/md3 /var ext3 rw,noatime,data=ordered 0 0 /dev/md2 /DataVolume xfs rw,noatime,uqnoenforce 0 0 /dev/ram0 /mnt/ram tmpfs rw 0 0 /dev/md2 /shares/Public xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Download xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Kits xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Movies xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Music xfs rw,noatime,uqnoenforce 0 0 Share-urile respective sunt făcute din sistemul lui de management (teoretic sunt exportate ca share-uri samba/nfs). 2013/9/30 Nicu lucrari.in.pregat...@gmail.com 2013/9/30 Nicu lucrari.in.pregat...@gmail.com 2013/9/30 Adrian Popa adrian.popa...@gmail.com Cred că dacă ar fi fost bind-mounted, ar fi apărut în output-ul lui mount, nu? În cazul meu nu apare. Directoarele au un hard link count 1: uita-te si-n /proc/mounts si-n plus, sistemul ala poate ca foloseste clone(CLONE_NEWNS) -- desi eu n-am intilnit pina acum. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] De ce nu am drept de ls pe un director?
Da, e dubios rău... Am încercat cu relogin, restart de sistem dar tot nu a funcționat. În directorul respectiv e montată o partiție xfs cu următoarele opțiuni (nu am un /etc/fstab, ăsta e outputul din mount): /dev/md2 on /DataVolume type xfs (rw,usrquota) Directorul /shares pare să fie hardlink către /DataVolume, oricum se comportă la fel indiferent de ce director încerc să accesez. Fișiere și directoare pot creea ușor ca user root, doar că vreau să încarc prin sftp ca user adrianp. Nu pare să am suport de acl-uri (nu am nici tooluri instalate, nimic). Am schimbat și grupul default al userului astfel: [adrianp@aldebaran ~]$id uid=503(adrianp) gid=1000(jewab) [adrianp@aldebaran ~]$ls -l /shares/Kits/ ls: /shares/Kits/: Permission denied [adrianp@aldebaran ~]$ls -ld /shares/Kits/ drwxrwxrwx3 root jewab 20 Sep 30 12:26 /shares/Kits/ E ca și cum nu i-ar păsa de permisiunea de execute (nici pentru user, nici pentru grup)... O să mai încerc să schimb ownerul directorului din root, dar mi-e că explodează alte lucruri... Update: Nu vrea nici așa - e clar că nu e de la permisiuni: [adrianp@aldebaran ~]$ls -l /shares/Kits ls: /shares/Kits: Permission denied [adrianp@aldebaran ~]$ls -ld /shares/Kits drwxrwxrwx3 adrianp jewab 20 Sep 30 12:26 /shares/Kits [adrianp@aldebaran ~]$id uid=503(adrianp) gid=1000(jewab) Recomandări în ce direcție să sap? Mulțumesc 2013/9/30 Petru Ratiu rpe...@gmail.com Alta sugestie ar fi sa incerci dintr-o sesiune noua, mi s-a intamplat sa mai fac scamatorii cu un user si sa nu se prinda programele deja pornite (daca shellul ala e un busybox si ls e un applet de-al lui, e posibil). De asemenea prezenta unui nscd pe sistem poate sa mai faca ozn-uri de-astea. FWIW, la mine merge ;) 2013/9/30 Dragos Crisan dragos.g.cri...@gmail.com Salut, Pare dubios ce se intampla acolo, dar cred ca stiai deja. Intrebare probabil stupida, de luni dimineata, inainte de a-mi bea cafeaua: directorul respectiv este pe o partitie separata? e montata cumva ro ?! Ai incercat sa adaugi userul adrianp in grupul jewab si sa incerci dupa sa scrii/citesti? Ti-as recomanda sa instalezi acl-uri, sa remontezi partitia cu acl-uri si sa dai un setfacl pe directorul respectiv. Spor On Sep 30, 2013, at 12:48 PM, Adrian Popa adrian.popa...@gmail.com wrote: Salut, Am un NAS WD MyBook World Edition (White Light) căruia i-am schimbat un HDD defect și l-am recondiționat cu firmware-ul original. Am acces ssh ca root și mi-am făcut un user local cu drepturi limitate. Mă confrunt cu următoarea problemă: Ca root: / # ls -ld /shares drwxr-xr-x8 root jewab4096 Sep 29 18:29 /shares / # ls -ld /shares/Kits/ drwxrwxrwx3 root jewab 20 Sep 30 12:26 /shares/Kits/ / # ls -ld /shares/Kits/android drwx--2 adrianp root6 Sep 30 12:26 /shares/Kits/android / # id uid=0(root) gid=0(root) Ca user adrianp: ~ $ ls -ld /shares drwxr-xr-x8 root jewab4096 Sep 29 18:29 /shares ~ $ ls -ld /shares/Kits/ drwxrwxrwx3 root jewab 20 Sep 30 12:26 /shares/Kits/ ~ $ ls -ld /shares/Kits/android ls: /shares/Kits/android: Permission denied ~ $ id uid=503(adrianp) gid=503(adrianp) Scopul meu e să pot scrie și citi fișiere ca adrianp în directorul /shares/Kits/android, dar nu înțeleg ce îmi scapă. În mod normal /shares/Kits e world writable și are și drept de execute, deci ar trebui să îi pot lista conținutul... Sistemul e un Linux 2.6.24.4, armv5 cu busybox și optware. Nu pare să aibă selinux. Ceva idei? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] De ce nu am drept de ls pe un director?
On Mon, 2013-09-30 at 14:03 +0300, Adrian Popa wrote: Da, e dubios rău... Am încercat cu relogin, restart de sistem dar tot nu a funcționat. În directorul respectiv e montată o partiție xfs cu următoarele opțiuni (nu am un /etc/fstab, ăsta e outputul din mount): /dev/md2 on /DataVolume type xfs (rw,usrquota) Directorul /shares pare să fie hardlink către /DataVolume, oricum se comportă la fel indiferent de ce director încerc să accesez. Fișiere și directoare pot creea ușor ca user root, doar că vreau să încarc prin sftp ca user adrianp. - /hardlink sau bind mount ? ca user adrianp poti sa accesezi ce vrei sa accesezi via /DataVolume ? adica ls /DataVolume/Kits ? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] De ce nu am drept de ls pe un director?
Cred că dacă ar fi fost bind-mounted, ar fi apărut în output-ul lui mount, nu? În cazul meu nu apare. Directoarele au un hard link count 1: [root@aldebaran ~]# ls -ld /shares/ /DataVolume/ drwxr-xr-x 11 root root 149 Sep 29 18:29 /DataVolume// drwxr-xr-x8 root jewab4096 Sep 30 13:29 /shares// Din câte am văzut /DataVolume e montat de mână într-un script din /etc/init.d/ (S01automountd) cu comanda: /bin/mount -n -o noatime,usrquota $source $target /dev/null 21 De /shares nu am găsit nimic în scripturile de startup, deci tind să cred că e hard-link (E vre-un mod prin care pot vedea către cine pointează?). După un ls -i nu ar părea că duc spre același inod, dar poate nu știu eu să interpretez outputul: [root@aldebaran ~]# ls -id /DataVolume/ 128 /DataVolume// [root@aldebaran ~]# ls -id /shares/ 89938 /shares// Nu pot să accesez nici prin DataVolume: [adrianp@aldebaran ~]$id uid=503(adrianp) gid=1000(jewab) [adrianp@aldebaran ~]$ls -ld /DataVolume/Kits/ drwxrwxrwx3 adrianp jewab 20 Sep 30 12:26 /DataVolume/Kits/ [adrianp@aldebaran ~]$ls -l /DataVolume/Kits/ ls: /DataVolume/Kits/: Permission denied E momentul să mă adresez pe forumuri specializate pentru jucăria asta? 2013/9/30 Vali Dragnuta vali.dragn...@inode.ro On Mon, 2013-09-30 at 14:03 +0300, Adrian Popa wrote: Da, e dubios rău... Am încercat cu relogin, restart de sistem dar tot nu a funcționat. În directorul respectiv e montată o partiție xfs cu următoarele opțiuni (nu am un /etc/fstab, ăsta e outputul din mount): /dev/md2 on /DataVolume type xfs (rw,usrquota) Directorul /shares pare să fie hardlink către /DataVolume, oricum se comportă la fel indiferent de ce director încerc să accesez. Fișiere și directoare pot creea ușor ca user root, doar că vreau să încarc prin sftp ca user adrianp. - /hardlink sau bind mount ? ca user adrianp poti sa accesezi ce vrei sa accesezi via /DataVolume ? adica ls /DataVolume/Kits ? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] De ce nu am drept de ls pe un director?
2013/9/30 Adrian Popa adrian.popa...@gmail.com Cred că dacă ar fi fost bind-mounted, ar fi apărut în output-ul lui mount, nu? În cazul meu nu apare. Directoarele au un hard link count 1: uita-te si-n /proc/mounts De /shares nu am găsit nimic în scripturile de startup, deci tind să cred că e hard-link (E vre-un mod prin care pot vedea către cine pointează?). nu exista hard-linkuri la directoare ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] De ce nu am drept de ls pe un director?
2013/9/30 Nicu lucrari.in.pregat...@gmail.com 2013/9/30 Adrian Popa adrian.popa...@gmail.com Cred că dacă ar fi fost bind-mounted, ar fi apărut în output-ul lui mount, nu? În cazul meu nu apare. Directoarele au un hard link count 1: uita-te si-n /proc/mounts si-n plus, sistemul ala poate ca foloseste clone(CLONE_NEWNS) -- desi eu n-am intilnit pina acum. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] De ce nu am drept de ls pe un director?
Uite așa arată mount vs /proc/mounts: [root@aldebaran ~]# mount securityfs on /sys/kernel/security type securityfs (rw) /dev/md2 on /DataVolume type xfs (rw,usrquota) /dev/md4 on /ExtendVolume type xfs (rw,usrquota) [root@aldebaran ~]# cat /proc/mounts rootfs / rootfs rw 0 0 /dev/root / ext3 rw,noatime,data=ordered 0 0 proc /proc proc rw 0 0 sys /sys sysfs rw 0 0 /dev/pts /dev/pts devpts rw 0 0 securityfs /sys/kernel/security securityfs rw 0 0 /dev/md3 /var ext3 rw,noatime,data=ordered 0 0 /dev/md2 /DataVolume xfs rw,noatime,uqnoenforce 0 0 /dev/ram0 /mnt/ram tmpfs rw 0 0 /dev/md2 /shares/Public xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Download xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Kits xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Movies xfs rw,noatime,uqnoenforce 0 0 /dev/md2 /shares/Music xfs rw,noatime,uqnoenforce 0 0 Share-urile respective sunt făcute din sistemul lui de management (teoretic sunt exportate ca share-uri samba/nfs). 2013/9/30 Nicu lucrari.in.pregat...@gmail.com 2013/9/30 Nicu lucrari.in.pregat...@gmail.com 2013/9/30 Adrian Popa adrian.popa...@gmail.com Cred că dacă ar fi fost bind-mounted, ar fi apărut în output-ul lui mount, nu? În cazul meu nu apare. Directoarele au un hard link count 1: uita-te si-n /proc/mounts si-n plus, sistemul ala poate ca foloseste clone(CLONE_NEWNS) -- desi eu n-am intilnit pina acum. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug