منتشرشده در uefi، فیلتر شکن

شما خودتان گفتید که پرونده های لینوکس توسط مجوزهای اساسی یونیکس به سبک DAC محافظت می شوند. همچنین خاطرنشان کردید که سیستم های پرونده FAT مجوزهای یونیکس را ذخیره نمی کنند. بنابراین چگونه می توان مجوزهای یونیکس را در اینجا یاری رساند؟

خوب ، چگونه سیستم فایلها به هیچ وجه بدون برخی از انتزاع برای مجوزها کار می کنند؟ به جای جستجوی سیستم فایلها برای مجوزها ، مجوزهای کل سیستم فایلها در زمان نصب تنظیم می شوند. برای جزئیات بیشتر به این سؤال / پاسخ مراجعه کنید ، اما گزیده مهم از مرد (8) منتسب است:

گزینه های چربی را برای 

    سوار کنید (توجه داشته باشید: چربی یک سیستم پرونده جداگانه نیست ، بلکه بخش مشترکی از ms‐ است.
   سیستم های dos ، msdos و vfat.)

   uid = مقدار و gid = مقدار
          مالک و گروه کلیه پرونده ها را تنظیم کنید. (پیش فرض: UID و GID
          روند فعلی.)

بنابراین ، هنگامی که / boot / efi (یا / efi سوار شود ، سوار مالک و گروه کلیه پرونده ها را روی تنظیم کنید. root: root ، از آنجا که کوه توسط ریشه انجام می شود.

بیایید این را در عمل ببینیم. در سیستم من: 

 ~ # کوه | grep efi
/ dev / nvme0n1p1 on / boot / efi type vfat (rw، relatime، fmask = 0077، dmask = 0077، codepage = 437، iocharset = ascii، اختصار = مخلوط، utf8، خطاها = Remount-Ro)
# grep efi / etc / fstab
UUID = DEAD-BEEF / boot / efi vfat umask = 0077 0 1

یک UID / GID صریح تنظیم نشده است ، بنابراین به عنوان UID / GID فرایند فراخوانی سوار می شود. توجه داشته باشید که fmask / dmask تنظیم شده است ، در نتیجه مجوزها برای پرونده ها و دایرکتوری ها روی 700 تنظیم شده است. 

 ~ # ls -al / boot / efi /
مجموع 9
drwx ------ 3 root root 4096 31 دسامبر 1969.
drwxr-xr-x 5 root root 1024 Nov 10 10:19 ..
drwx ------ 4 root root 4096 Nov 7 16:44 EFI

اگر بیشتر تحقیق می کردید ، می دیدید که هر پرونده و فهرست تحت نام کوه دارای مجوزها و مالکیت یکسان هستند. اگر سعی می کنید حتی محتوای فهرست ها را به عنوان یک کاربر غیر شخصی لیست کنید ، بدیهی است که دریافت می کنید: 

 هیچ کس @ multi3: / tmp $ ls -al / boot / efi
ls: نمی توان دایرکتوری را باز کرد '/ boot / efi': اجازه رد شد

بنابراین ، به سوال شما بازگردید:

چرا؟ فقط چرا؟ چگونه می توان این را ایمن دانست؟ هر کاربر یک سیستم
  می توانند با ESP بازی کنند و هر کاری که دوست دارند انجام دهند. به نظر می رسد شکست
  همه اقدامات امنیتی معقول و منطقی.

این "امن" است زیرا توسط DAC محافظت می شود. مجوزهای یونیکس فقط ریشه می تواند تغییراتی ایجاد کند. بنابراین این ادعا که "هر کاربر یک سیستم" می تواند تغییراتی ایجاد کند ، نادرست است.

اکنون ، من فکر می کنم ریشه می تواند گزینه های کوه را تغییر دهد تا امکان نصب آن به عنوان کاربر دیگری فراهم شود ، اما این فقط احمقانه است. اما اگر مدل تهدید شما شامل یک کاربر روت غیر قابل اعتماد است ، باید مشکلات بیشتری برای نگرانی داشته باشید.

همه اینها فرض بر این است که شما به ESP سیستم در حال اجرا در حال مراجعه هستید. البته ، همانطور که شما در کامنت ها خیلی مهربانانه اظهار داشتید ، اگر داخل سیستم دیگری نصب شود ، این پارتیشن می تواند تغییر یابد.

تگ ها: