32

Я вошел как миним.

Я не понимаю, почему он не позволяет мне создавать свой собственный файл без прав su. Очевидно, я могу использовать sudo, но я хотел бы понять, почему? из-за группы www-данных?

chown minime:www-data user-functions.php

ls -lh

-rw-r--r--  1 minime minime    24K Jan  6 16:11 user-functions.php

Error:

chown: changing ownership of `user-functions.php': Operation not permitted

1 ответ1

47

Непривилегированные пользователи (не root) не могут chown файлы к другим именам пользователей. Чтобы использовать chown , пользователь должен иметь привилегии целевого пользователя. Другими словами, только root может передать файл другому пользователю.

Как объяснено здесь (спасибо @slhck):

Только процессы с эффективным идентификатором пользователя, равным идентификатору пользователя файла или с соответствующими привилегиями, могут изменять владельца файла. Если _POSIX_CHOWN_RESTRICTED действует для пути:

  • Изменение идентификатора пользователя ограничено процессами с соответствующими привилегиями.

  • Изменение идентификатора группы разрешено для процесса с эффективным идентификатором пользователя, равным идентификатору пользователя файла, но без соответствующих привилегий, если и только если владелец равен идентификатору пользователя файла или (uid_t)-1, а группа равна либо к эффективному идентификатору группы вызывающего процесса, либо к одному из его дополнительных идентификаторов группы.

Объяснение этого было хорошо объяснено @Gilles в этом ответе Unix & Linux:

Причина этого ограничения заключается в том, что передача файла другому пользователю может привести к возникновению плохих вещей в необычных, но все же важных ситуациях. Например:

  • Если в системе активированы дисковые квоты, Алиса может создать файл, доступный для записи в мире, в каталоге, доступном только ей (чтобы никто другой не мог получить доступ к этому файлу, доступному для записи в каталоге), а затем запустить команду chown, чтобы сделать этот файл владельцем другой пользователь Билл. После этого файл будет считаться дисковой квотой Билла, даже если файл может использовать только Алиса.
  • Если Алиса передает файл Биллу, нет никаких признаков того, что Билл не создал этот файл. Это может быть проблемой, если файл содержит недопустимые или иным образом компрометирующие данные.
  • Некоторые программы требуют, чтобы их входной файл принадлежал определенному пользователю для аутентификации запроса (например, файл содержит некоторые инструкции, которые программа будет выполнять от имени этого пользователя). Обычно это небезопасный дизайн, потому что даже если Билл создал файл, содержащий синтаксически правильные инструкции, он, возможно, не намеревался выполнять их в это конкретное время. Тем не менее, разрешение Алисе создавать файл с произвольным содержимым и принимать его в качестве входных данных от Билла может только усугубить ситуацию.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .