Fórumok
Sziasztok!
Bizonyára valami triviális dolog, valószínű valaha tudtam is, mi a megoldás, de elfelejtettem.
Laptopomon Debian fut. Van egy NAS, ami NFS-en ajánlja ki a tárhelyet, ez van felmountolva.
root felhasználóként szoktam időnként egy backup scriptet futtatni. Ma a fájlok nagy részét sikerült is neki lemásolni, hármat viszont nem.
Ránézésre a fájlok ugyanolyanok, mint bármelyik másik. Gee felhasználóként le is tudtam másolni őket és root-ként az usb hdd-n meg tudom nyitni.
Rémlik valami olyan nfs opció, hogy root ne férjen hozzá (vagy nem privilegizáltként) a fájlokhoz. De akkor vagy azt várnám, hogy egyikhez se, vagy mindhez hozzá kéne férnie.
$ ls -lhF
-rw------- 1 gee gee 87K Jan 4 2006 wow_call_eladas.pdf
-rw------- 1 gee gee 87K Jan 4 2006 wow_call_vetel.pdf
$ file wow_call_*
wow_call_eladas.pdf: PDF document, version 1.3
wow_call_vetel.pdf: PDF document, version 1.3
root@hawk:~# file /mnt/nas/backup/wow_call_vetel.pdf
/mnt/nas/backup/wow_call_vetel.pdf: regular file, no read permission
root@hawk:~# ls -l /mnt/nas/backup/wow_call_vetel.pdf
-rw------- 1 gee gee 88400 Jan 4 2006 /mnt/nas/backup/wow_call_vetel.pdf
root@hawk:~# ls -l /media/usb1/Soki/wow_call_*
-rw------- 11 gee gee 88311 Jan 4 2006 /media/usb1/Soki/wow_call_eladas.pdf
-rw------- 1 gee gee 88400 Jan 4 2006 /media/usb1/Soki/wow_call_vetel.pdf
root@hawk:~# file /media/usb1/Soki/wow_call_*
/media/usb1/Soki/wow_call_eladas.pdf: PDF document, version 1.3
/media/usb1/Soki/wow_call_vetel.pdf: PDF document, version 1.3
Mi lehet ez?
Hozzászólások
man exports
...
Very often, it is not desirable that the root user on a client machine is
also treated as root when accessing files on the NFS server. To this end, uid
0 is normally mapped to a different id: the so-called anonymous or nobody
uid. This mode of operation (called `root squashing') is the default, and can
be turned off with no_root_squash.
By default, exportfs chooses a uid and gid of 65534 for squashed access.
These values can also be overridden by the anonuid and anongid options.
Finally, you can map all user requests to the anonymous uid by specifying the
all_squash option.
Igen, erre gondoltam, amikor ezt írtam:
Köszi, hogy emlékeztettél a nevére.
De a kérdésre ez, sajnos, nem válasz.
Alulról a 6. sorban van a válasz.
Ne haragudjatok, de nem látom, mire gondoltok itt.
Be van kapcsolva alapból a root squashing. Emiatt root valami fake uid-del próbál hozzáférni a fájlokhoz.
Van két nagyon hasonló fájl, ugyanolyan tulajdonossal, ugyanabban a csoportban, ugyanolyan jogosultságokkal.
Az egyiket meg tudja nyitni a root, a másikat nem.
Nem látom, a választ arra, hogy miért megy az egyik és miért nem megy a másik.
Esetleg, ha lehet, kifejtenéd, hogy alulról a 6. sorban mi a válasz?
Köszönöm.
Esetleg be tudnad azt a kodreszletet is copy-zni amiben a /mnt/nas/backup/wow_call_eladas.pdf filet probalod megnyitni root-kent.
kódrészlet?
Az nem elég, hogy a file parancs nem tudja megnyitni?
De egyébként ez végezné a másolást:
Az egyik fs lokalis (ahol ervenyesul a root osszes privilegiuma, konkretan a CAP_DAC_OVERRIDE, ami miatt a kernel nem nezi, hogy milyen jogosultsagok vannak tenylegesen beallitva), a masik pedig egy NFS mount, ahol a lokalis root a tuloldal szempontjabol egy mezei felhasznalo.
Igen, ezt jól látod.
És az a kérdés, hogy az NFS-en két egymás mellett fájl közül miért tudja az egyiket megnyitni, míg a másikat nem.
MEg csak arra mutattal peldat, hogy az NFS share-en levo 0600 jogosultsagu file nem olvashato a helyi root altal. Mutass mar ellenpeldat, es akkor elkezdunk csodalkozni, es mondjuk NFS szerveroldali ACL-ek fele nezelodni.
Elnézést.
Most, hogy nézem, tényleg nem maradt a fenti példában az, amit tudott olvasni.
Tegnap elég sokat bemásoltam oda, aztán nagy részét kitöröltem, gondolva, hogy nem fontos.
Most már értem, hogy miért gondolta mindenki, hogy a root_squash válasz a kérdésemre.
Most nem sikerül reprodukálnom a problémát, pontosabban, ahogy mondtátok és ahogy elvárható, nem tudja a root egyik fájlt sem megnyitni.
Mivel a tegnapi parancsaim eredménye már nincs meg, és hiába emlékszem valamire, lehet, hogy rosszul emlékszem, maradjunk annyiban, hogy talán user error volt.
Van két nagyon hasonló fájl, ugyanolyan tulajdonossal, ugyanabban a csoportban, ugyanolyan jogosultságokkal.
Az egyiket meg tudja nyitni a root, a másikat nem.
Nem látom, a választ arra, hogy miért megy az egyik és miért nem megy a másik.
Azért megy az egyik és nem a másik, mert noha azt képzeled, hogy a jogosultságok megegyeznek, a valóságban mégsem. Ezt egy "su nobody" alapú tesztettel baromi gyorsan le lehet amúgy tesztelni.
OK. Tehát a jogosultságok nem egyeznek meg.
Melyik jogosultságok? Hogy tudom kilistázni, megnézni? Hogy tudom megváltoztatni, hogy megegyezzenek?
Megnéztem nobody nevében, de nincs joga megnyitni egyik fájlt sem.
Ha jól értem, akkor a rootnak ugyanígy nem lenne szabad egyik fájlt sem látnia (hiszen én vagyok a tulajdonosuk és az other csoportnak nincs olvasási joga).
Rossz gepen nezelodsz: a root squash az NFS szerveren tortenik, nem a kliensen.
ah.
Hát az viszont egy NAS, nincs shell hozzáférésem. Fogalmam sincs, hogy ő ott mit csinál az NFS-sel.