C'est quelque chose sur lequel je n'ai pas pu trouver beaucoup d'informations, donc toute aide serait appréciée.
Ma compréhension est ainsi. Prenez le fichier suivant:
-rw-r----- 1 root adm 69524 May 21 17:31 debug.1
L'utilisateur phil
ne peut pas accéder à ce fichier:
phil@server:/var/log$ head -n 1 debug.1
cat: debug.1: Permission denied
Si phil
est ajouté au adm
groupe, il peut:
root@server:~# adduser phil adm
Adding user `phil' to group `adm' ...
Adding user phil to group adm
Done.
phil@server:/var/log$ head -n 1 debug.1
May 21 11:23:15 server kernel: [ 0.000000] DMI: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.7.5.1-0-g8936dbb-20141113_115728-nilsson.home.kraxel.org 04/01/2014
Cependant, si un processus est démarré alors qu'il est défini explicitement user:group
sur, phil:phil
il ne peut pas lire le fichier. Le processus a commencé comme ceci:
nice -n 19 chroot --userspec phil:phil / sh -c "process"
Si le processus est démarré en tant que phil:adm
, il peut lire le fichier:
nice -n 19 chroot --userspec phil:adm / sh -c "process"
La question est donc vraiment:
Quelle est la particularité d'exécuter un processus avec un combo utilisateur / groupe spécifique qui empêche le processus d'accéder aux fichiers appartenant à des groupes supplémentaires de cet utilisateur et existe-t-il un moyen de contourner cela?