права на монтиование

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
v4567
Сообщения: 162
ОС: Devuan

права на монтиование

Сообщение v4567 »

Команда mount имеет следующие права -rwxr-xr-x root root то есть запускать её может любой пользователь заведённый в системе. Скорее всего так и есть, так как по команде:

Код: Выделить всё

mount --version

выдаёт версию пакета.
Но вот примонтировать диск не получается, выдаёт:

Код: Выделить всё

mount: необходимо иметь права суперпользователя для использования mount

установив биты SUID, SGID -rwsr-sr-x 1 root root получаем следующее сообщение:

Код: Выделить всё

mount: только root может сделать это

система selinux не запущена, получается что возможность монтирования проверяется отдельно на уровне ядра?
Если кто в курсе хотелось бы что бы объяснили если есть время, или хотя бы дали ссылку на информацию.
Прошу не говорить про sudo, вопрос у меня в другом.



Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: права на монтиование

Сообщение Bizdelnick »

v4567 писал(а):
02.03.2017 11:49
получается что возможность монтирования проверяется отдельно на уровне ядра?

Нет, она проверяется самим mount. См. https://git.kernel.org/cgit/utils/util-linu...ble%2Fv2.29#n63

v4567 писал(а):
02.03.2017 11:49
Прошу не говорить про sudo

Можем сказать про udisksctl, pmount и что там ещё было аналогичного назначения...
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
RusWolf
Сообщения: 604
ОС: Arch Linux x64 на BTRFS

Re: права на монтиование

Сообщение RusWolf »

v4567 писал(а):
02.03.2017 11:49
Команда mount имеет следующие права -rwxr-xr-x root root то есть запускать её может любой пользователь заведённый в системе.


Владелец root, группа root.
У тебя в системе любой пользователь - это root пользователь из группы root ?
Спасибо сказали:
v4567
Сообщения: 162
ОС: Devuan

Re: права на монтиование

Сообщение v4567 »

Да всё правильно владелец root и группа root но ведь для всех остальных пользователей стоят права r-x, x - значит и все остальные могут запускать команду mount и монтировать диски.
Я так понял что сама команда mount проверяет от какого пользователя она запущена и разрешает если от root и запрещает если не от root монтирование.
Спасибо сказали:
Аватара пользователя
RusWolf
Сообщения: 604
ОС: Arch Linux x64 на BTRFS

Re: права на монтиование

Сообщение RusWolf »

v4567 писал(а):
02.03.2017 16:02
но ведь для всех остальных пользователей стоят права r-x, x

Ну так внимательно посмотри на права, всем можно только запускать, но нет прав на запись/изменение, кроме владельца.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: права на монтиование

Сообщение Bizdelnick »

RusWolf писал(а):
02.03.2017 16:22
нет прав на запись/изменение, кроме владельца

Они никому и не нужны, и в вопросе о них речи не шло.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
yoricI
Сообщения: 2345
ОС: gentoo fluxbox

Re: права на монтиование

Сообщение yoricI »

А на диски права и в gentoo и в debian:

Код: Выделить всё

rw-rw---- root:disk
и даже будучи в группе disk, всё равно не даёт противоречить fstab-у...
Спасибо сказали:
Аватара пользователя
yars
Сообщения: 1144
Статус: Slacker!
ОС: Slackware64-current

Re: права на монтиование

Сообщение yars »

v4567 писал(а):
02.03.2017 16:02
ведь для всех остальных пользователей стоят права r-x, x - значит и все остальные могут запускать команду mount и монтировать диски.

Запускать -- да, но монтировать -- нет. Как уже сказали, mount проверяет наличие прав рута у запустившего ее пользователя. И если у вас прав рута нет, раздел в общем случае нельзя смонтировать. Но если для раздела вашего /dev/sdx в fstab в поле параметров монтирования есть параметр user, то любой пользователь сможет примонтировать данный раздел, см. mount(8).

Bizdelnick писал(а):
02.03.2017 16:28
Они никому и не нужны

Именно, незачем позволять перезаписывать важные системные файлы абы кому.
Slackware64-current/Xfce 4.12/Acer TravelMate 5760
-------------
Registered Linux User #557010
Спасибо сказали:
Аватара пользователя
gramozeka
Сообщения: 204
ОС: Slackware-14

Re: права на монтиование

Сообщение gramozeka »

если вопрос о монтировании флешек и дисков подключённых в машине, но не примонтированных через fstab, то тут вероятнее всего не mount нужно пинать(он совсем не причём в данном вопросе) есть более адаптированное средство.
1. Проверить установлены ли пакеты udisks(1 и 2), polkit
если они есть, то
2. в /etc/polkit-1/rules.d/ нужно создать правило разрешающее монтирование юзеру без привилегий. Как вариант (читайте доки по polkit ):

Код: Выделить всё

~$ cat /etc/polkit-1/rules.d/20-plugdev-group-mount-override.rules
/* http://udisks.freedesktop.org/docs/latest/udisks-polkit-actions.html */
/*20-plugdev-group-mount-override.rules*/
polkit.addRule(function(action, subject) {
  if (action.id.match("org.freedesktop.udisks2.") && subject.isInGroup("wheel")) {
    return polkit.Result.YES;
  }
});

это правило даёт право на монтирование любых дисков(и флешек) простому пользователю(входящему в группу "wheel") без ввода пароля из файлового менеджера. Можно и конкретного пользователя прописать, но это излишнее по моему.
если же в системе, гвоздями на 200, намертво прибито поделие Подтеринга(тысяча чертей) то тогда ССЗБ должен перечитать все возможные тексты по systemd, авось и найдет себе ответ.
... ну я же просил четыреста капель , а сдесь четыреста две ...
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: права на монтиование

Сообщение Bizdelnick »

gramozeka писал(а):
04.03.2017 03:37
простому пользователю(входящему в группу "wheel")

Пользователь, входящий в группу wheel, — это весьма непростой пользователь. По крайней мере в тех дистрибутивах, где эта группа есть.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
RusWolf
Сообщения: 604
ОС: Arch Linux x64 на BTRFS

Re: права на монтиование

Сообщение RusWolf »

gramozeka писал(а):
04.03.2017 03:37
простому пользователю(входящему в группу "wheel")

Этот "простой" пользователь уже может спокойно юзать sudo :)
Спасибо сказали:
Аватара пользователя
gramozeka
Сообщения: 204
ОС: Slackware-14

Re: права на монтиование

Сообщение gramozeka »

Bizdelnick писал(а):
04.03.2017 12:35
gramozeka писал(а):
04.03.2017 03:37
простому пользователю(входящему в группу "wheel")

Пользователь, входящий в группу wheel, — это весьма непростой пользователь. По крайней мере в тех дистрибутивах, где эта группа есть.

ну я же написал "как вариант", правило работает при любом значении группы, хоть "guppy" хоть "chorta-lisogo" главное, чтобы пользователь был членом этой группы, во многих дистрах есть группа "users" или как в красношапочных при создании пользователя создаётся одноимённая группа. Вот пример для такого расклада:

Код: Выделить всё

~$ groups mike
mike
~$ cat /etc/polkit-1/rules.d/20-plugdev-group-mount-override.rules
/* http://udisks.freedesktop.org/docs/latest/udisks-polkit-actions.html */
/*20-plugdev-group-mount-override.rules*/
polkit.addRule(function(action, subject) {
  if (action.id.match("org.freedesktop.udisks2.") && subject.isInGroup("mike")) {
    return polkit.Result.YES;
  }
});
... ну я же просил четыреста капель , а сдесь четыреста две ...
Спасибо сказали:
Ответить