Mount otazka: ako jeto mozne?

RE: Mount otazka: ako jeto mozne? 16.02.2019 | 12:24

debian+ Návštevník

Ako pripajas /test/log -> /log?

Prava su podstatne podla PATH a nie podla toho, co z kadial je pripojene.

RE: Mount otazka: ako jeto mozne? 16.02.2019 | 14:09

Ikaros Návštevník

mount fs -> fs urcite je tam rw na fs. Obmedzenie na roota tam neni ak myslis pri mounte uid, gid ci umask to je default. Co neviem presne co tam je. Ako si myslel ze prava sa vyhodnocuju len podla premennej PATH? Takze v tomto pripade su ignorovane perm. na adresar /test?? System CentOS.

RE: Mount otazka: ako jeto mozne? 16.02.2019 | 14:39
debian+ Návštevník

PATH - prava sa urcuju podla cesty hierarchijy v strome (napr. /bla/bla2/bla) a nie podla ktora toho, odkial su pripajane

(pre puntickarov - pri pripajani sa mozu zmenit prava iba v bode pripajanie)

RE: Mount otazka: ako jeto mozne? 20.02.2019 | 10:23

WlaSaTy Návštevník

Priamy prístup do súborového systému nekontroluje práva nadradeného priečinku. Ak vieš že máš vliezť do tebe prístupného /test/log, tak doň vlezieš aj keď ten /test nad ním ti nie je prístupný. Výnimka je ak chceš nazdieľať daný priečinok cez napríklad windowsové zdieľanie (Samba/CIFS), tak vtedy ťa tam nepustí priamo skočiť, ak nemôžeš prekráčať od koreňa.

Linuxové súborové systémy umožňujú aj dedenie práv z nadriadeného FS cez ACL, ale to sa netýka tvojej otázky.

RE: Mount otazka: ako jeto mozne? 20.02.2019 | 12:59
samalama. Návštevník
Priamy prístup do súborového systému nekontroluje práva nadradeného priečinku. Ak vieš že máš vliezť do tebe prístupného /test/log, tak doň vlezieš aj keď ten /test nad ním ti nie je prístupný.

VACSI BLUD SI NAPISAT ASI ANI NEMOHOL...

takze podla teba ak mam:
```
sh# ls -ld /mnt/test
drwx------ 4 root root 1024 Feb 20 12:40 /mnt/test
sh# ls -ld /mnt/test/user
drwxr-xr-x 4 plesaty plesaty 1024 Feb 20 12:47 /mnt/test/user

sh# mount
/tmp/test1.dd on /mnt/test type ext3 (rw,relatime,data=ordered)
/tmp/test2.dd on /mnt/test/user type ext3 (rw,relatime,data=ordered)

### to moutovanie nie je vobec nevyhnutne, funguje to rovnako aj bez toho
```
tak user plesaty sa vie dostat do /mnt/test/user? tak urcite...

NESKUTOCNY FAIL PLESATEHO, KTORY TERAZ ZASE SPUSTI KOLOTOC SRACIEK, ALE ZEBY SI PRIZNAL, ZE JE KOKOT, TO NIE...
- RE: Mount otazka: ako jeto mozne? 20.02.2019 | 14:25
  WlaSaTy Návštevník
  
  Gratulujem ku tvojmu kvalitnému príspevku. Teraz sa skús zamyslieť prečo si v tvojom príklade nepoužil príkaz cd keď sa snažíš negovať vstup do priečinku.
  
  Nič sa tu nezmenilo. Stále píšeš o jednoduchých veciach, ktorým nerozumieš.
  - RE: Mount otazka: ako jeto mozne? 20.02.2019 | 17:52
    samalama. Návštevník
    
    tak hlavne by si si to mal vyskusat ty, aby si tu potom nepisal tie dristy...
    - RE: Mount otazka: ako jeto mozne? 20.02.2019 | 19:26
      WlaSaTy Návštevník
      
      Presne to som skúšal:
      
      Externý USB disk pripojený niekam do užívateľovho HOME, a nazdieľaný cez CIFS. Nik okrem mňa mi nemal právo loziť do môjho HOME, ale do toho vnoreného prípojného bodu mohol lokálne vliezť. Príkaz cd v shelli, a grafický správca súborov sa do toho USB disku dostali bez problémov po zadaní celej cesty (alebo po kliknutí vľavo na predvolené priečinky). Ale Samba/CIFS to nerozchodila, má také fajnové obmedzenie. Tak som to prepojil klasicky do /mnt/voľačo kam mohol každý, a bolo vybavené.
      
      Na budúce sa prosím ťa zamysli pred tým ako niečo o druhom napíšeš.
      - RE: Mount otazka: ako jeto mozne? 20.02.2019 | 23:10
        samalama. Návštevník
        
        $ mount ... /dev/sdb1 on /home/plesaty/mnt type vfat (rw,uid=1000,gid=1000,fmask=0022,dmask=0022,user=plesaty,...) ... $ id uid=1001(tester) gid=1001(tester) groups=1001(tester) $ ls -ld /home/plesaty drwxr-xr-x 71 plesaty plesaty 4096 Feb 20 22:48 /home/plesaty $ cd /home/plesaty/mnt $ pwd /home/plesaty/mnt $ cd $ pwd /home/tester (plesaty)$ chmod 0700 /home/plesaty $ ls -ld /home/plesaty drwx------ 71 plesaty plesaty 4096 Feb 20 22:48 /home/plesaty $ cd /home/plesaty/mnt -bash: cd: /home/plesaty/mnt: Permission denied
        
        keby to bolo tak ako tvrdis, tak by ten system prav v linuxe nedaval ziadny zmysel...
- RE: Mount otazka: ako jeto mozne? 21.02.2019 | 10:01
  snuff1987 Návštevník
  
  Samalama ma pravdu. Funguje to presne naopak ako napisal wlasaty. Pokial nemas pravo x do nadradeneho priecinka tak do svojho sa nedostanes.
  - RE: Mount otazka: ako jeto mozne? 21.02.2019 | 11:30
    WlaSaTy Návštevník
    
    Samá lama písala že si máš nastaviť práva na prípojný bod až po pripojení priečinku. V tom má pravdu keďže po pripojení toho ďalšieho disku sa ti zmenia práva toho priečinku (ktorý sa stane prípojným bodom) na to, čo je nastavené v koreni toho pripojeného disku, a zrazu doň stratíš právo zápisu (ktoré si tam by default nemal). Ak si to podľa jeho rady nezmenil po pripojení, stačí raz.
    
    Ja som písal že aj keď by si vôbec nemal práva vstúpiť do nadradeného priečinku (v tvojom prípade /test) tak vlezieš do prípojného bodu (/test/log) cez napr. cd alebo cez grafiku. A že Samba/CIFS ťa doň nepustí ak nemáš právo vliezť do nadriadeného priečinku (/test). Sranda je že samá lama tými jeho ukážkami len potvrdila moje slová, i keď tvrdila že to tak nie je. Holt, jeho úroveň samonasierania sa zas o čosi zvýšila, a prejavuje sa to zaujímavým vrčaním.
    
    No, na druhú stranu som ja osobne predpokladal že si si tie práva nastavil až po pripojení /test/log, a pýtal si sa na dedenie práv z /test do /test/log. Teda na ACL inheritance ktoré ale nemá moc zmysel medzi rôznymi diskami, na čo som aj upozornil.
    - RE: Mount otazka: ako jeto mozne? 21.02.2019 | 13:31
      snuff1987 Návštevník
      
      Tak uz som pochopil o com vy dvaja rozpravate...
      
      Zase raz obaja objavujete objavene... :D
      $ ls -l drwx------ 3 root root 4096 Feb 21 13:15 test $ls -l test/ drwxr-xr-x 2 plesaty samalama 4096 Feb 21 13:17 user plesaty@linuxovy_kral:/tmp$ cd test/ bash: cd: test/: Permission denied And here comes magic: $sudo su root@linuxovy_kral:/tmp# chmod 000 userMOUNT/ root@linuxovy_kral:/tmp# ls -l d--------- 2 root root 4096 Feb 21 13:16 userMOUNT root@linuxovy_kral:/tmp# mount --bind test/user/ ./userMOUNT/ root@linuxovy_kral:/tmp# exit $ ls -l drwxr-xr-x 2 plesaty samalama 4096 Feb 21 13:17 userMOUNT $ cd userMOUNT/ $ ls -l total 0 -rw-r--r-- 1 plesaty samalama 0 Feb 21 13:17 file
      
      Ano vysvetlenie je naozaj fascinujuce.. Ze ked si pod ROOTOM namountujes priecinok do ineho mountpointu tak sa akosi ocakava, ze je v pohode mat tento priecinok namountovany a prava sa mu pridelia podla zdrojoveho priecinka... Ak vsak chces do takehoto adresara pristupit priamo ako neprivilegovany uzivatel a nemas nan prava "r,x" tak bohuzial..Nevidim na tom nic nelogicke a sokantne :D
      - RE: Mount otazka: ako jeto mozne? 21.02.2019 | 13:40
        snuff1987 Návštevník
        
        Ten prvy prikaz cd ma byt takyto:
        plesaty@linuxovy_kral:/tmp$ cd test/user/ bash: cd: test/user/: Permission denied $ mount --bind test/user ./userMOUNT/ mount: only root can use "--bind" option $ mount test/user ./userMOUNT/ mount: only root can do that
        
        Prepacte ale ziadny zahadu nevidim.
      - RE: Mount otazka: ako jeto mozne? 21.02.2019 | 15:13
        WlaSaTy Návštevník
        
        Máš preklep:
        prava sa mu pridelia podla zdrojoveho priecinka
        
        Malo by to byť takto:
        práva sa mu nastavia podľa toho, čo je nastavené pre koreň toho pripájaného (vnoreného) FS. A to bez ohľadu na to, ako bol nastavený priečinok do ktorého pripájaš ten FS.
    - RE: Mount otazka: ako jeto mozne? 21.02.2019 | 22:20
      samalama. Návštevník
      
      Ja som písal že aj keď by si vôbec nemal práva vstúpiť do nadradeného priečinku (v tvojom prípade /test) tak vlezieš do prípojného bodu (/test/log) cez napr. cd alebo cez grafiku.
      
      KLAMES. ak raz nemas prava na nejaky priecinok, tak sa tam nedostanes, ani do ziadneho jeho podadresara. a mozes si tam pripojit aj rit jezisa krista, nepomoze ti to. to, ze tu spominas nejake pripojne body, ktorych prava sa zmenia, je uplne irelevantne...
      - RE: Mount otazka: ako jeto mozne? 22.02.2019 | 08:14
        WlaSaTy Návštevník
        
        Naozaj sa nič nezmenilo. Furt sa chováš sa cítiš ako špičkový odborník čo má právo relaxovať a zvalovať tvoje chyby na druhých.
        
        Furt tu bude minimálne jeden šašek čo bude útočiť na druhých, a urážať kade koho. Táto miestna kultúra už odplašila veľa ľudí.
        
        PS šak písal že nemá právo tam, kam si ho nedal. A má tam, kam ho dal. To je podľa teba irelevantné ako ánus symbolu vyše troch štvrtín občanov tejto republiky (info z posledného sčítania ľudu).
RE: Mount otazka: ako jeto mozne? 26.02.2019 | 20:05
LH Návštevník
Dobry vecer.

Bohuzial ci chcete alebo nechcete uzivatel "samalama" ma v tomto pravdu a to co ste napisali, vid. [1] je nezmysel (chyba), ktory si z nejakeho dovodu nechcete priznat ani po dolozeni podkladov ako vykonat experiment. Zbytocne svoje nepochopenie/chybu obhajujete/zahmlievate dalsimi nezmyslami o pripajani CIFS suboroveho systemu a dalsimi technickymi zbytocnostami, ktore s danou nepravdou suvisia iba nepriamo. Odporucam Vam vo vlastnej rezii vykonat experiment. vid. [2] a snad sa Vam uz konecne vyjasni.

S pozdravom L.H.

[1] Linux-ovy technicky nezmysel/nepochopenie
```
"Priamy prístup do súborového systému nekontroluje práva nadradeného priečinku. Ak vieš že máš vliezť do tebe prístupného /test/log, tak doň vlezieš aj keď ten /test nad ním ti nie je prístupný."
```
[2] Experiment
```
# id
uid=0(root) gid=0(root) groups=0(root),0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)

# mkdir -p /owner-root/owner-lala
# chmod -R 700 /owner-root/
# chown lala:lala /owner-root/owner-lala

# ls -ld /owner-root
drwx------    3 root     root          4096 Feb 26 19:50 /owner-root

# ls -ld /owner-root/owner-lala
drwx------    2 lala     lala          4096 Feb 26 19:50 /owner-root/owner-lala

# su - lala
# id
uid=1000(lala) gid=1000(lala) groups=10(wheel),1000(lala)

# cd 
-ash: /owner-root/owner-lala: Permission denied
```
- RE: Mount otazka: ako jeto mozne? 26.02.2019 | 20:35
  LH Návštevník
  Dobry vecer.
  
  Posledny prikaz sa mi trosku "pokazil" ;-) Nasleduje oprava.
  
  S pozdravom L.H.
  # cd /owner-root/owner-lala -ash: cd: can't cd to /owner-root/owner-lala: Permission denied
- RE: Mount otazka: ako jeto mozne? 26.02.2019 | 20:38
  WlaSaTy Návštevník
  Dobrý večer,
  Ako som už spomínal, tak presne tento problém som riešil pred vyše troma rokmi pri okolnostiach ktoré som spomínal. Teda pri konfigurácii Samba/CIFS. A rád by som sa potom dozvedel od ľudí ktorí tvrdia že som nemal pravdu, že ako je možné toto:
  root@nas:~# mkdir -p /tmp/secret/public root@nas:~# chmod go-rwx /tmp/secret root@nas:~# chown blah.blah /tmp/secret/public root@nas:~# ls -ld /tmp/secret drwx------ 3 root root 4096 Feb 26 20:24 /tmp/secret root@nas:~# ls -ld /tmp/secret/public drwxr-xr-x 2 blah blah 4096 Feb 26 20:24 /tmp/secret/public root@nas:~# cd /tmp/secret/public root@nas:/tmp/secret/public# su blah blah@nas:/tmp/secret/public$ pwd /tmp/secret/public blah@nas:/tmp/secret/public$ ls -lad . drwxr-xr-x 2 blah blah 4096 Feb 26 20:24 . blah@nas:/tmp/secret/public$
  
  Podľa tunajších odborných vysvetlení by to nemalo byť možné.
  - RE: Mount otazka: ako jeto mozne? 26.02.2019 | 23:20
    LH Návštevník
    
    Dobry vecer.
    
    Tunajsie odborne vysvetlenia boli/su bohuzial v poriadku. Problem je len v tom, ze si stale zamienate dojmy a pojmy. Pre obhajobu svojho dojmu sa snazite bohuzial pouzit podvod (cheat) v podobe prikladu, ktory ste poslal. V uvedenom priklade ste nikde nepouzili prikaz cd (systemove volanie "chdir") vykonany pod uzivatelom "blah". To co ste vykonali bolo, ze ste sa "presunuli" do adresara "/tmp/secret/public" ako uzivatel "root", ktory ma povolenie pristupu do tohto adresara. Nasledne ste vykonali prikaz zmeny uzivatela na uzivatela "blah" pomocou prikazu "su" a nakoniec ste zobrazili nastavenie opravneni pre aktualny adresar. Vsetky prikazy a ich spravanie je vsak absolutne normalne a podla ocakavania.
    Vysvetlenie:
    
    Prikaz "cd" je vstavanym prikazom vacsiny/kazdeho prikazoveho interpretra, vid. [1] priklad interpretra "ash" z balicka "busybox". Zmena adresara je implementovana pomocou systemove volania "chdir", vid. [2]. Prikaz "su", vid. [3] standardne nezmeni aktualny pracovny adresar (CWD) takze, ked ste sa do adresara "/tmp/secret/public" dostali uz skor ako uzivatel "root", standardnym prikazom "su blah" sa budete stale nachadzat v tom istom adresary. Podvod je ale v tom, ze ste nepouzili prikaz cd (systemove volanie "chdir") a tak nedoslo k vyhodnoteniu pristupovych prav. Odporucam namiesto prikazu "su blah" pouzit prikaz "su - blah" nakolko prvou variantou si len miesate prostredia.
    
    S pozdravom L.H.
    [1] Busybox - ash shell - command cd (syscall "chdir")
    
    https://github.com/brgl/busybox/blob/master/shell/ash.c#L2631 https://github.com/brgl/busybox/blob/master/shell/ash.c#L2644
    [2] Linux Programmer's Manual - chdir, fchdir - change working directory
    
    http://man7.org/linux/man-pages/man2/chdir.2.html
    
    [3] User Commands - su - run a command with substitute user and group ID
    
    http://man7.org/linux/man-pages/man1/su.1.html
    ... For backward compatibility, su defaults to not change the current directory and to only set the environment variables HOME and SHELL (plus USER and LOGNAME if the target user is not root). It is recommended to always use the --login option (instead of its shortcut -) to avoid side effects caused by mixing environments.
    - RE: Mount otazka: ako jeto mozne? 27.02.2019 | 00:15
      samalama. Návštevník
      
      to je klasika. plesaty si ako vzdy prisposobi okolnosti podla jeho potrieb. skoda reci...
    - RE: Mount otazka: ako jeto mozne? 27.02.2019 | 08:47
      WlaSaTy Návštevník
      
      Musím ťa sklamať, to nie je cheat. Keby na to užívateľ nemal právo, tak mu to su zlyhá z dôvodu zamietnutého prístupu keďže by nemal ako v tom priečinku ostať.
      
      Asi som mal používať moderný štýl šiltovkovej komunikácie od Rytmusa s výrazmi: KOLOTOC SRACIEK, KOKOT, dristy alebo rit jezisa krista aby malo moje slovo nejakú váhu.
      - RE: Mount otazka: ako jeto mozne? 27.02.2019 | 09:49
        LH Návštevník
        
        Dobry den.
        
        Bohuzial musim kapitulovat v ramci tejto dikusie lebo sa stale motate len okolo svojej vlastnej nevedomosti. Je nemozne s Vami normalne technicky a vecne diskutovat nakolko si stale zamienate dojmy a pojmy (aj ked Vam je ukazany zeleny balonik, stale vidite len ten svoj ruzovy). Odporucam Vam dostudovat zaklady OS Linux. Na tuto temu uz nebudem viac reagovat. Dakujem za pochopenie.
        
        S pozdravom L.H.
        
        RE: Mount otazka: ako jeto mozne? 27.02.2019 | 20:20
        WlaSaTy Návštevník
        
        Takže moja nevedomosť je v tom, že sa podľa výkladu bezpečnostného konceptu miestnych odborníkov nedostanem tam, kam som sa dostal.
        
        Teraz zadám domácu úlohu číslo 2:
        
        Čo v prípade ak taký zatajený priečinok pripojím užívateľovi cez bind?
        root@nas:/home/blah# mkdir public root@nas:/home/blah# mount --bind /tmp/secret/public public root@nas:/home/blah# ls -ld /tmp/secret/public /tmp/secret drwx------ 3 root root 4096 Feb 27 19:50 /tmp/secret drwxr-xr-x 2 blah blah 4096 Feb 27 19:57 /tmp/secret/public blah@nas:~$ cd public blah@nas:~/public$ touch test blah@nas:~/public$ ls -la total 8 drwxr-xr-x 2 blah blah 4096 Feb 27 20:12 . drwxr-xr-x 3 blah blah 4096 Feb 27 20:03 .. -rw-rw-r-- 1 blah blah 0 Feb 27 20:12 test blah@nas:~/public$
        
        Vždy ma fascinovala samá lama ako začala používať spoločensky nevhodné slová. Či už hneď zo začiatku keď si sem prišla liečiť komplexy menejcennosti, alebo po čase keď jej došli argumenty a chcela sa zachovať hrdinsky.
        
        PS: S Linuxom robím od minulého tisícročia, a viem že obísť ten chabý dirctory traversal sa dá veľa spôsobmi.
        
        RE: Mount otazka: ako jeto mozne? 27.02.2019 | 22:16
        samalama. Návštevník
        
        skus najst rozdiel:
        blah$ cd /tmp/secret/public blah$ cd /home/blah/public
        
        ak ho nenajdes, nema cenu to dalej riesit...
        
        RE: Mount otazka: ako jeto mozne? 28.02.2019 | 09:33
        WlaSaTy Návštevník
        
        Keď ako užívateľ blah vytvorím v priečinku /home/blah/public nejaký súbor, tak ten súbor bude v /tmp/secret/public aj po odpojení /home/blah/public. Povedz mi aký rozdiel v tomto prípade očakávaš, ak tam nie je.
        
        Tá chabá ochrana directory traversal neochráni ani pred script kiddies, ale za to pred tebou to ochráni na celej čiare.
        
        RE: Mount otazka: ako jeto mozne? 28.02.2019 | 20:40
        samalama. Návštevník
        
        zase len trepes tie tvoje sracky a vyberas si to, co ti vyhovuje, aj ked si uplne mimo misu. cely cas ti tu vyvraciame jednu vec, ktoru si nechces prispustit, ze je to blbost: user, ktory nema rwx prava na nejaky adresar, tak sa do jeho podadresarov nedostane, aj napriek tomu, ze na tie podadresare ma rwx prava. pod slovom "nedostatne" sa myslia ukony toho konkretneho usera. ty si si ale samozrejme opat prisposobil situaciu a podmienky tak, aby ti to vyhovovalo a uvadzas uplne inu situaciu s mountovanim adresarov a vykonavanim prikazov ako root, co je v tomto pripade uplne irelevantne. a co je najdolezitejsie, potvrdil si si to sam s tou sambou. predpokladam, ze opat tu budes pisat dalsie sracky, takze toto je moje posledne vyjadrenie. zaver nech si kazdy spravi sam...
        
        RE: Mount otazka: ako jeto mozne? 28.02.2019 | 21:12
        WlaSaTy Návštevník
        
        Tak mi vysvetli, prečo ma to v obidvoch prípadoch do toho podadresára pustilo keď bezpečnostný ževraj koncept tomu mal v obidvoch prípadoch zabrániť.
        
        Môžeš začať tým, že sa nejedná o bezpečnostný koncept, ale len o bežnú limitáciu ktorú prestrelí aj decko na základke.
        
        RE: Mount otazka: ako jeto mozne? 01.03.2019 | 00:29
        samalama. Návštevník
        
        je pre teba velky problem priznat si prehru...?
        
        RE: Mount otazka: ako jeto mozne? 01.03.2019 | 13:19
        WlaSaTy Návštevník
        
        Tvrdil som: "Ak vieš že máš vliezť do tebe prístupného /test/log, tak doň vlezieš aj keď ten /test nad ním ti nie je prístupný" a to som aj doložil.
        
        RE: Mount otazka: ako jeto mozne? 01.03.2019 | 19:01
        samalama. Návštevník
        
        ale ty si don nevliezol. vliezol tam root a aj to do uplne inej adresarovej struktury. a to je obrovsky rozdiel. takze zavadzas...
        
        RE: Mount otazka: ako jeto mozne? 01.03.2019 | 21:07
        WlaSaTy Návštevník
        
        Ak by to bola bezpečnostná vlastnosť tak ma to prvý krát vykopne. A druhý krát by sa skontrolovali práva a nepustilo by tam užívateľa.
        
        Toľko k tomu. A teraz zmizni zavadzať tam, kam patríš. Tam môžeš zavádzať staničnú, má ťa rada aj cez ten preplesk.
        
        RE: Mount otazka: ako jeto mozne? 02.03.2019 | 01:50
        samalama. Návštevník
        
        zacinam mat pocit, ze ty kokot naozaj si a nehras to len...
        
        RE: Mount otazka: ako jeto mozne? 03.03.2019 | 19:35
        WlaSaTy Návštevník
        
        Pre hlupáka každý hlúpy.
      - RE: Mount otazka: ako jeto mozne? 27.02.2019 | 13:28
        samalama. Návštevník
        
        ok, tak podme byt konkretni: kde v tvojom priklade user 'blah' zadal prikaz 'cd /tmp/secret/public'? lebo o tom je cela diskusia...
        
        RE: Mount otazka: ako jeto mozne? 27.02.2019 | 16:03
        jon Návštevník
        
        Ty sa ho pýtaš to isté, čo sa on pýtal 20.2.
        Teraz sa skús zamyslieť prečo si v tvojom príklade nepoužil príkaz cd keď sa snažíš negovať vstup do priečinku.
        
        Zbytočne sa navzájom vytáčate.
        
        RE: Mount otazka: ako jeto mozne? 27.02.2019 | 17:39
        samalama. Návštevník
        
        ???