Apakah mungkin untuk mengizinkan beberapa pengguna tertentu (misalnya anggota grup) untuk memasang sistem file apa pun tanpa hak pengguna superuser di Linux?
Pertanyaan lain mungkin adalah "dalam hal apa pengguna dapat membahayakan sistem dengan memasang sistem file?"
Jawaban:
Ada beberapa pendekatan, sebagian dari mereka sebagian besar aman, yang lain tidak sama sekali.
Biarkan semua penggunaan berjalan mount, misalnya, melalui sudo. Anda mungkin juga memberi mereka root; itu adalah hal yang sama. Pengguna dapat me-mount sistem file dengan salinan root suid dari bash—running yang secara instan memberikan root (kemungkinan tanpa logging, di luar fakta yang mountdijalankan).
Sebagai alternatif, pengguna dapat memasang sistem file sendiri di atas /etc, berisi salinannya sendiri /etc/shadowatau /etc/sudoers, kemudian mendapatkan root dengan salah satu suatau sudo. Atau mungkin bind-mount ( mount --bind) pada salah satu dari dua file tersebut. Atau file baru menjadi /etc/sudoers.d.
Serangan serupa dapat ditarik dari atas /etc/pam.ddan banyak tempat lainnya.
Ingat bahwa filesystem tidak perlu ada di perangkat, -o loopakan me-mount file yang dimiliki (dan dengan demikian dapat dimodifikasi) oleh pengguna.
Berbagai lingkungan desktop sebenarnya sudah membangun solusi untuk ini, untuk memungkinkan pengguna memasang media yang dapat dilepas. Mereka bekerja dengan memasang di subdirektori /mediahanya dan dengan mematikan dukungan set-user / group-id melalui opsi kernel. Pilihan di sini termasuk udisks, udisks2, pmount, usbmount,
Jika harus, Anda dapat menulis skrip Anda sendiri untuk melakukan hal serupa, dan memohonnya melalui sudo — tetapi Anda harus benar-benar berhati-hati menulis skrip ini untuk tidak meninggalkan eksploitasi root. Jika Anda tidak ingin pengguna Anda harus mengingat sudo, Anda dapat melakukan sesuatu seperti ini dalam sebuah skrip:
#!/bin/bash
if [ $UID -ne 0 ]; then # or `id -u`
exec sudo -- "$0" "$@"
fi
# rest of script goes here
Ruang nama Linux adalah bentuk virtualisasi yang sangat ringan (wadah, untuk lebih spesifik). Secara khusus, dengan ruang nama pengguna, setiap pengguna pada sistem dapat membuat lingkungan mereka sendiri di mana mereka root. Ini akan memungkinkan mereka untuk me-mount sistem file, kecuali yang telah diblokir secara eksplisit kecuali untuk beberapa sistem file virtual. Akhirnya, filesystem FUSE mungkin akan diizinkan, tetapi tambalan terbaru yang saya temukan tidak mencakup perangkat blok, hanya hal-hal seperti sshfs.
Lebih lanjut, banyak kernel distro (untuk alasan keamanan) default untuk tidak mengizinkan pengguna yang tidak memiliki hak menggunakan ruang nama pengguna; misalnya Debian memiliki kernel.unprivileged_userns_clonedefault ke 0. Distro lain memiliki pengaturan yang serupa, walaupun seringkali dengan nama yang sedikit berbeda.
Dokumentasi terbaik yang saya ketahui tentang ruang nama pengguna adalah artikel LWN ruang nama operasi, bagian 5: Ruang nama pengguna .
Untuk saat ini, saya akan menggunakan udisks2.
mountuntuk dapat me-mount sistem file seperti yang dilakukan root? Saya akan membaca dokumen ruang nama yang telah Anda tautkan, dan mencoba menerapkan hal mount group ini, setidaknya sebagai latihan.
Anda dapat melakukannya, tetapi Anda perlu memodifikasi entri yang /etc/fstabsesuai dengan sistem file yang ingin Anda pasang, menambahkan tanda userpada entri ini. Pengguna yang tidak memiliki hak istimewa kemudian dapat memasangnya.
Lihat man mountuntuk lebih jelasnya.
vfs.usermount). Saya ingin sth. analog dengan itu. Saya menggunakan banyak drive yang dapat dilepas dengan banyak partisi pada masing-masing partisi dan akan sulit untuk menambahkan selusin atau dua entri ke fstab untuk masing-masing partisi.
udevmengelola entri saat perangkat baru muncul dan menghilang.
Berikut adalah wiki untuk mengonfigurasi aturan polkit untuk udisks / udisks2 untuk me-mount partisi oleh grup non-root (misalnya pengguna).
Simpan kode di bawah ini ke /etc/polkit-1/rules.d/50-udisks.rules
polkit.addRule(function(action, subject) {
var YES = polkit.Result.YES;
var permission = {
// only required for udisks1:
"org.freedesktop.udisks.filesystem-mount": YES,
"org.freedesktop.udisks.filesystem-mount-system-internal": YES,
"org.freedesktop.udisks.luks-unlock": YES,
"org.freedesktop.udisks.drive-eject": YES,
"org.freedesktop.udisks.drive-detach": YES,
// only required for udisks2:
"org.freedesktop.udisks2.filesystem-mount": YES,
"org.freedesktop.udisks2.filesystem-mount-system": YES,
"org.freedesktop.udisks2.encrypted-unlock": YES,
"org.freedesktop.udisks2.eject-media": YES,
"org.freedesktop.udisks2.power-off-drive": YES,
// required for udisks2 if using udiskie from another seat (e.g. systemd):
"org.freedesktop.udisks2.filesystem-mount-other-seat": YES,
"org.freedesktop.udisks2.encrypted-unlock-other-seat": YES,
"org.freedesktop.udisks2.eject-media-other-seat": YES,
"org.freedesktop.udisks2.power-off-drive-other-seat": YES
};
if (subject.isInGroup("users")) {
return permission[action.id];
}
});
Asumsikan Anda berada di grup "pengguna", menggunakan perintah berikut untuk me-mount partisi (tidak perlu sudo).
# udisks2
udisksctl mount --block-device /dev/sda1
# udisks
udisks --mount /dev/sda1
Pada Xubuntu ia berfungsi di luar kotak untuk memasang dan mengeluarkan penyimpanan massal USB, partisi hard disk, CD / DVD dan mungkin lebih.
Mari kita asumsikan bahwa solusi yang dipilih Ubuntu, menggunakan policyKit, cukup aman.
Pada XFCE pada Debian 8.3 saya harus mengizinkan pengguna untuk memasang dan mengeluarkan sistem file dari thunar tanpa kata sandi. Yang berhasil bagi saya adalah memilih file izin dari Ubuntu.
Menambahkan baris di bawah ini sebagai root ke file bernama /var/lib/polkit-1/localauthority/10-vendor.d/com.ubuntu.desktop.pklaharus melakukan trik:
[Mounting, checking, etc. of internal drives]
Identity=unix-group:admin;unix-group:sudo
Action=org.freedesktop.udisks.filesystem-*;org.freedesktop.udisks.drive-ata-smart*;org.freedesktop.udisks2.filesystem-mount-system;org.freedesktop.udisks2.encrypted-unlock-system;org.freedesktop.udisks2.filesystem-fstab;
ResultActive=yes
(Apa yang saya lakukan sebenarnya adalah mengambil sedikit lebih banyak dari file dengan nama yang sama di Ubuntu 16.04 dan itu bekerja untuk saya. Jika Anda membutuhkannya, sebagian besar sepertinya isi https://gist.github.com/kafene/5b4aa4ebbd9229fa2e73 )
Anda dapat mengonfigurasi sudountuk mengizinkan sekelompok pengguna untuk menjalankan mountperintah.
Pembaruan : bagaimana Anda dapat merusak sistem dengan memasang? Sebagai contoh, Anda dapat membuat shell root setuid pada sistem file yang kemudian bisa Anda mount dan jalankan untuk mendapatkan privilege root.
sudo? Juga, bukankah pengguna root memasang sistem file, hanya di belakang layar, dengan metode ini?
mountuntuk sudo mountatau menggunakan script wrapper.
userke fstab hanya berfungsi karena mountsetuid root. Kernel memeriksa root atau CAP_SYS_ADMINkapabilitas sehingga Anda tidak bisa benar-benar melibatkan root.
Untuk menjawab pertanyaan Anda dalam tanda kurung, karena sistem file adalah pengganti untuk file, maka pengguna dapat berpotensi melakukan operasi berbahaya pada sistem file tersebut, seperti menghapus file.
Meringkas 2 pertanyaan lain saya akan mengatakan ini:
fstabsangat bagus untuk pemasangan pada penyimpanan permanen saat booting . Tidak begitu bagus ketika Anda ingin mencolokkan drive usb atau sesekali mount beberapa jaringan.
sudo mountjuga tidak masalah jika Anda menggunakan sistem ubuntu *. Anda masih harus mengetikkan kata sandi.
udev akan menangani pemasangan hal-hal seperti stik usb, kamera dan kartu flash di sistem ubuntu * (tetapi tidak dalam distro yang kurang ramah pengguna seperti debian, slackware, dll)
Saya akan menambahkan bahwa, secara historis, cara unix untuk memberikan otoritas kepada beberapa pengguna (atau grup) untuk melakukan hal-hal adalah melalui sudoersfile.
Ada banyak panduan untuk menggunakannya di luar sana jadi saya tidak akan menyarankan yang khusus. Saya akan mengatakan bahwa saya menggunakan situs web proyek dokumentasi Linux untuk mempelajarinya.
Yang lebih penting sudoersadalah Anda dapat memasang perangkat dan berbagi secara transparan - bahkan tanpa memberikan kata sandi jika Anda memilih untuk melakukannya (ekstra hati-hati tentang hal itu).
Apa yang biasanya saya lakukan dalam lingkungan kontrol adalah saya menggunakan sudoersfile untuk memungkinkan pengguna grup tertentu untuk me-mount berbagi jaringan secara transparan. Jadi saya menambahkan perintah mount.nfsdan mount.cifsdalam file sudoers yang memungkinkan operasi seperti "me-mount folder home pengguna dari server file jaringan, ketika pengguna log on ke terminal klien" dan belajar seperti itu.
autofssendiri untuk me-mount /home/$USERdari fileserver, ke lokasi /home/$USER/fromFS/di pc klien.
guestmount tipu daya libguestfs
sudo apt-get install libguestfs-tools
# Workarounds for Ubuntu 18.04 bugs.
# https://serverfault.com/questions/246835/convert-directory-to-qemu-kvm-virtual-disk-image/916697#916697
sudo rm -rf /var/cache/.guestfs-*
echo dash | sudo tee /usr/lib/x86_64-linux-gnu/guestfs/supermin.d/zz-dash-packages
sudo chmod +r /boot/vmlinuz-*
# Create a test image.
mkdir sysroot
dd if=/dev/urandom of=sysroot/myfile bs=1024 count=1024
virt-make-fs --format=raw --type=ext2 sysroot sysroot.ext2
# Mount it, have fun, unmount!
mkdir -p mnt
# /dev/sda becuase we have a raw filesystem.
guestmount -a sysroot.ext2.qcow2 -m /dev/sda mnt
cmp sysroot/myfile mnt/myfile
guestunmount mnt
Bergantung pada:
Documents: http://libguestfs.org/guestmount.1.html
Diuji pada Ubuntu 18.04, libguestfs-tools 1: 1.36.13-1ubuntu3.
gvfs-mount-d /dev/sdX