Tại sao mount yêu cầu quyền root?

Tại sao Linux yêu cầu người dùng phải root / sử dụng sudo / được ủy quyền cụ thể cho mỗi lần gắn kết để gắn kết một cái gì đó? Có vẻ như quyết định về việc có cho phép người dùng gắn kết một cái gì đó hay không nên dựa trên quyền truy cập của họ đối với khối lượng / chia sẻ mạng và đến điểm gắn kết. Một vài cách sử dụng để gắn kết không root là gắn hình ảnh hệ thống tệp theo hướng người dùng sở hữu và gắn chia sẻ mạng vào thư mục do người dùng sở hữu. Có vẻ như nếu người dùng có quyền kiểm soát cả hai mặt của phương trình gắn kết thì mọi thứ sẽ rất tuyệt.

Làm rõ hạn chế truy cập:

Tôi cảm thấy tôi có thể gắn kết bất cứ thứ gì mà người dùng có quyền truy cập vào một điểm gắn kết mà người dùng là chủ sở hữu.

Chẳng hạn, trên máy tính của tôi / dev / sda1 được sở hữu bởi người dùng root và nhóm đĩa có quyền brw-rw----. Do đó, người dùng không root không thể gây rối với / dev / sda1 và rõ ràng việc gắn kết không nên cho phép họ gắn kết. Tuy nhiên, nếu người dùng sở hữu /home/my_user/my_imagefile.img và điểm gắn kết / home / my_user / my_image / tại sao họ không thể gắn tệp hình ảnh đó vào điểm gắn kết đó với:

mount /home/my_user/my_imagefile.img /home/my_user/my_image/ -o loop

Như kormac đã chỉ ra rằng có một vấn đề suid. Vì vậy, một số hạn chế sẽ phải được thêm vào để ngăn không cho vấn đề trở thành vấn đề cũng như tiềm ẩn một số vấn đề khác. Có lẽ một cách để làm điều này là làm cho HĐH coi tất cả các tệp thuộc về người dùng đã gắn kết. Tuy nhiên, để đọc / ghi / thực thi đơn giản, tôi không hiểu tại sao điều này lại là một vấn đề.

Trường hợp sử dụng:

Tôi có một tài khoản trong phòng thí nghiệm nơi không gian nhà của tôi bị giới hạn ở 8GB. Điều này là nhỏ và rất rất khó chịu. Tôi muốn gắn một khối lượng nfs từ máy chủ cá nhân của mình để tăng lượng phòng mà tôi có. Tuy nhiên, vì Linux không cho phép những thứ như vậy mà tôi bị mắc kẹt với các tập tin scp'ing qua lại ở dưới giới hạn 8GB.

Đó là cả một hạn chế về lịch sử và an ninh.

Trong lịch sử, hầu hết các ổ đĩa không thể tháo rời. Vì vậy, thật hợp lý khi hạn chế gắn kết với những người có quyền truy cập vật lý hợp pháp và họ có thể sẽ có quyền truy cập vào tài khoản root. Các mục fstab cho phép quản trị viên ủy quyền gắn kết cho người dùng khác cho các ổ đĩa di động.

Từ quan điểm bảo mật, có ba vấn đề chính với việc cho phép người dùng tùy ý gắn các thiết bị khối tùy ý hoặc hình ảnh hệ thống tệp tại các vị trí tùy ý.

• Gắn kết vào một vị trí không thuộc sở hữu làm mờ các tệp tại vị trí đó. Ví dụ: gắn hệ thống tệp bạn chọn /etc, với /etc/shadowmật khẩu gốc có chứa mật khẩu mà bạn biết. Điều này được khắc phục bằng cách cho phép người dùng gắn hệ thống tệp chỉ trên một thư mục mà anh ta sở hữu.
• Trình điều khiển hệ thống tập tin thường không được kiểm tra kỹ lưỡng với hệ thống tập tin không đúng định dạng. Trình điều khiển hệ thống tập tin lỗi có thể cho phép người dùng cung cấp hệ thống tập tin không đúng định dạng để tiêm mã vào kernel.
• Việc gắn một hệ thống tập tin có thể cho phép công cụ tìm kiếm khiến một số tệp xuất hiện mà anh ta không có quyền tạo. Setuid thực thi và thiết bị file là những ví dụ rõ ràng nhất, và chúng được cố định bởi nosuidvà nodevtùy chọn được ngụ ý bởi có usertrong /etc/fstab.
  Cho đến nay thi hành userkhimountkhông được gọi bằng root là đủ. Nhưng nhìn chung việc có thể tạo một tệp thuộc sở hữu của một người dùng khác là có vấn đề: nội dung của tệp đó có nguy cơ được quy cho bởi chủ sở hữu có mục đích thay vì người bắt gặp. Một bản sao lưu giữ thuộc tính thông thường bằng root đến một hệ thống tệp khác sẽ tạo ra một tệp thuộc sở hữu của chủ sở hữu được khai báo nhưng chưa được giải quyết. Một số chương trình kiểm tra xem yêu cầu sử dụng tệp có hợp pháp không bằng cách kiểm tra xem tệp đó thuộc sở hữu của một người dùng cụ thể và điều này sẽ không còn an toàn (chương trình cũng phải kiểm tra xem các thư mục trên đường dẫn truy cập có thuộc sở hữu của người dùng đó không; nếu việc gắn tùy ý được cho phép, họ cũng sẽ phải kiểm tra xem không có thư mục nào trong số này là điểm gắn kết mà việc gắn kết được tạo không phải bởi root hay bởi người dùng mong muốn).

Đối với các mục đích thực tế, ngày nay có thể gắn kết một hệ thống tập tin mà không cần root, thông qua FUSE . Trình điều khiển FUSE chạy như người dùng gắn kết, do đó không có nguy cơ leo thang đặc quyền bằng cách khai thác một lỗi trong mã hạt nhân. Hệ thống tập tin FUSE chỉ có thể hiển thị các tập tin mà người dùng có quyền tạo, giải quyết vấn đề cuối cùng ở trên.

Nếu người dùng có quyền truy cập ghi trực tiếp vào thiết bị khối và có thể gắn thiết bị khối đó, thì họ có thể viết một thiết bị thực thi cho thiết bị khối, gắn kết, và thực thi tệp đó, và do đó, có quyền truy cập root vào hệ thống. Đây là lý do tại sao việc gắn kết thường bị hạn chế vào root.

Bây giờ root có thể cho phép người dùng bình thường gắn kết với các hạn chế cụ thể, nhưng anh ta cần đảm bảo rằng nếu người dùng có quyền truy cập ghi vào thiết bị chặn, thì mount không cho phép suid, và cả devnodes, có vấn đề tương tự (người dùng có thể tạo ra một devnode cung cấp cho họ quyền truy cập ghi vào một thiết bị quan trọng mà họ không nên có quyền truy cập ghi).

Nó không luôn luôn đòi hỏi siêu tư nhân. Từman mount

   The non-superuser mounts.
          Normally,  only  the  superuser can mount filesystems.  However,
          when fstab contains the user option on a line, anybody can mount
          the corresponding system.

          Thus, given a line

                 /dev/cdrom  /cd  iso9660  ro,user,noauto,unhide

          any  user  can  mount  the iso9660 filesystem found on his CDROM
          using the command

                 mount /dev/cdrom

          or

                 mount /cd

          For more details, see fstab(5).  Only the user  that  mounted  a
          filesystem  can unmount it again.  If any user should be able to
          unmount, then use users instead of user in the fstab line.   The
          owner option is similar to the user option, with the restriction
          that the user must be the owner of the special file. This may be
          useful e.g. for /dev/fd if a login script makes the console user
          owner of this device.  The group option  is  similar,  with  the
          restriction  that  the  user  must be member of the group of the
          special file.

Kormac và những người khác đã chỉ ra rằng đây không phải là vấn đề nan giải mà bạn trình bày nó như; đối với tôi, điều này xuất phát từ triết lý cấp các đặc quyền của người dùng một cách rõ ràng so với một hệ thống mà theo đó tất cả người dùng sẽ có quyền bất biến để gắn kết một hệ thống tập tin.

Gilles giải quyết một số vấn đề bảo mật liên quan đến việc gắn hệ thống tập tin. Tôi sẽ tránh một cuộc thảo luận sơ bộ và tiếp tuyến về các vấn đề kỹ thuật tiềm ẩn liên quan đến vấn đề này (xem bình luận) nhưng tôi nghĩ thật công bằng khi người dùng không tin cậy không có quyền bất biến để gắn ổ cứng.

Vấn đề liên quan đến hệ thống tệp ảo và từ xa (hoặc hệ thống tệp từ xa thông qua hệ thống tệp ảo, la FUSE) ít quan trọng hơn, nhưng điều này không giải quyết được câu hỏi bảo mật (mặc dù FUSE có thể và chắc chắn sẽ giải quyết được vấn đề của bạn). Điều quan trọng nữa là phải xem xét rằng dữ liệu trong các hệ thống tệp đó hầu như luôn có thể được truy cập mà không cần gắn thiết bị, thông qua truyền tệp hoặc các công cụ trích xuất từ ​​hình ảnh mà không cần gắn, vì vậy một hệ thống không cho phép bạn gắn kết một cái gì đó không đại diện cho một vấn đề không thể vượt qua liên quan đến việc truy cập dữ liệu mà bạn đã đặt một cách kỳ lạ vào một tệp hình ảnh, hoặc (dễ hiểu hơn) muốn nhận được từ một hệ thống từ xa. Nếu bạn có một tình huống không phải là trường hợp này, nó có thể có giá trị trong khi hỏi:

1. Chính xác thì tôi đang cố gắng làm gì?

2. Tôi đang cố gắng làm ở đâu?

Nếu quản trị hệ thống là công bằng, thì # 2 giải thích tại sao # 1 là không thể đối với bạn. Nếu chính quyền của hệ thống không công bằng, đó là chính trị . Giải pháp cho vấn đề, "Quản trị viên hệ thống của tôi không công bằng" là không thiết kế lại HĐH để quản trị viên hệ thống ở mọi nơi không thể hạn chế người dùng.

Hệ thống cho phép siêu người dùng hạn chế các hoạt động của bạn, một cách rõ ràng hoặc bằng cách bỏ qua ("Chúng tôi không cung cấp FUSE", v.v.). Đặc quyền là một cơ chế theo cách này được thực hiện. Có thể không hay khi nói: "Bạn không cần phải làm điều này", nhưng nếu đó là sự thật ... que sera ... bạn không cần phải làm điều này. Sử dụng ftp, vv Nếu nó không đúng, bạn nên bỏ qua những người có trách nhiệm.

FYI: Các hạt nhân mới nhất có hỗ trợ "không gian tên". Người dùng thông thường có thể tạo một không gian tên và trong không gian tên đó, trở thành root và làm những thứ thú vị như hệ thống tập tin gắn kết.

Mặc dù vậy, nó không cung cấp cho bạn quyền siêu người dùng "thực" - bạn chỉ có thể làm những gì bạn đã được phép làm (nghĩa là bạn chỉ có thể gắn thiết bị mà bạn đã có thể đọc).

http://lwn.net/Articles/531114/ Xem phần 4.

Bởi vì dữ liệu trên hệ thống tập tin mà họ dự định gắn kết có thể ảnh hưởng đến bảo mật của máy chủ hoặc thậm chí làm sập nó (nếu nó được xây dựng theo cách đó một cách có chủ ý).

Trong Gnome, gvfs không yêu cầu root để gắn hệ thống tập tin từ xa (ftp hoặc ssh) và gnome-mount cũng không cần root để gắn bộ nhớ ngoài (ổ USB, CD / DVD, v.v.).

Hầu hết các hệ thống có thể không muốn có toàn bộ Gnome chỉ cho một số cài đặt từ xa, sau đó bạn có thể sử dụng lufs , sshfs hoặc ftpfs .

gvfs, lufs, sshfs và ftpfs sử dụng FUSE để cho phép người dùng không root để gắn hệ thống tệp ảo; và không giống như mount -o user, FUSE không yêu cầu sysadmin sắp xếp các mount cụ thể. Miễn là bạn có đặc quyền cho thư mục mount và với bất kỳ tài nguyên nào cần thiết để xây dựng hệ thống tập tin, bạn có thể tạo mount FUSE.

Tại sao mount yêu cầu quyền root?

Bởi vì mountchủ yếu / ban đầu được dành cho hệ thống tập tin cục bộ, hầu như luôn liên quan đến một phần cứng.