端末コマンドのルート要件を区別するメカニズムは何ですか？

Question

はい、各アプリケーションは通常、実際のアプリケーションの「権限ビット」を介して独自の権限を設定します。実行したいさまざまな実行可能ファイルと一緒にコマンドを使用すると、ls -lこれらの内容を表示できます。

$ ls -l /sbin/ | grep autrace
-rwxr-x---. 1 root root     15792 Aug 24 14:40 autrace
03:03:22-slm~ $ autrace
bash: /usr/sbin/autrace: Permission denied

ただし、タッチ/アクセスしたい「データ」が制限されているいくつかのコマンドがあるため、表示権限だけでは不十分です。

$ ls -l /sbin/ | grep "\bfdisk"
-rwxr-xr-x. 1 root root    230512 Apr 25 05:19 fdisk
$ fdisk -l
$

ここのコマンドは自分のユーザーIDで実行されますが、そのユーザーは自分のシステムの物理ディスクに関する情報にアクセスできないため、fdisk出力は表示されません。次のコマンドを使用してrootとして権限を増やすと、目的のsudo出力を表示できます。

$ sudo fdisk -l | head -10

Disk /dev/sda: 238.5 GiB, 256060514304 bytes, 500118192 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 5D1229E8-1234-1234-1234-ABCDEFG128790

Device           Start          End   Size Type
/dev/sda1         2048       411647   200M EFI System

これを制御するメカニズム

一元管理はなく、すべての制御が分散され、アプリケーション/実行ファイル（上記のように）のファイルと共に許可ビットとして保存されるか、これらのツールが使用するデータファイルまたはファイルがあるディレクトリに保存されます。場所が含まれています。

コマンドシェル

Bashがシェルで、端末がコマンドを渡すためのユーザーインターフェースであるという説明は正しくありません。代わりに、ターミナルは内部で実行されるシェル（通常Bash）で実行されるアプリケーションですが、シェルの数に制限はありません。

例えば

ps以下は、現在のシェルプロセスの構造を示すコマンドの出力です。

$ ps axf | less
...
 8549 ?        Sl     0:08 /usr/libexec/gnome-terminal-server
 8552 ?        S      0:00  \_ gnome-pty-helper
10286 pts/13   Ss     0:00  \_ bash
12783 pts/13   Sl+    5:49  |   \_ vinagre
12868 pts/14   Ss     0:00  \_ bash
15742 pts/14   R+     0:00      \_ ps axf
15743 pts/14   S+     0:00      \_ less -r

gnome-terminalここでは、上部で実行されている端末と下の子プロセスを見ることができます。これらのサブプロセスは2つのbashシェルで構成され、そのうちの1つはというアプリケーションを実行しvinagre、もう1つはpsここに示すコマンドを実行します。

追加の制限

上記は、システムユーザーが実行可能ファイルを使用する方法の基本です。しかし、これらは単なる基本です。これに加えて、さまざまな実行可能ファイルに対するアクセス制御リスト（ACL）やアクセス制御ポリシーなどの他の技術があります。

ACLは非常にシンプルで、所有者、グループなどの既存のモデルを超えて、ユーザーに詳細な制御を提供します。

SELinuxやAppArmorなどのツールは同じアプローチをとりますが、Linuxカーネルレベルでルールを作成し、Application Xがシステム全体と対話する方法を制限する機能を導入します。たとえば、Sambaサーバーを実行している場合は、このアプリケーションが通常機能する通常のゾーン外のファイルシステムへのアクセスを許可する必要があります。これを許可するには、追加のポリシーを追加する必要があります。

SELinuxのマニュアルページから抜粋

SELinux（NSA Security Enhanced Linux）は、Linuxオペレーティングシステムで柔軟な必須アクセス制御アーキテクチャを実装したものです。 SELinuxアーキテクチャは、Type Enforcement®ベースのポリシー、役割ベースのアクセス制御、およびマルチレベルセキュリティの概念など、さまざまな必須アクセス制御ポリシーを実施するための一般的なサポートを提供します。 SELinux に関する背景情報と技術文書は以下にあります。 http://www.nsa.gov/research/selinux。

コマンド部分は何ですか？

アプリケーションがシステム上の物理ファイルであるのか、それとも別のファイルであるのかわからない場合は、このコマンドを使用してtypeそれを確認できます。

$ type pwd
pwd is a shell builtin

$ type fdisk
fdisk is /usr/sbin/fdisk

したがって、上記の例ではpwdBashに組み込まれfdiskていません/usr/sbin/fdisk。

メモ:組み込みのものと同様に、それを呼び出すBashシェルの権限によって制御されます！

Answer 1

はい、各アプリケーションは通常、実際のアプリケーションの「権限ビット」を介して独自の権限を設定します。実行したいさまざまな実行可能ファイルと一緒にコマンドを使用すると、ls -lこれらの内容を表示できます。

$ ls -l /sbin/ | grep autrace
-rwxr-x---. 1 root root     15792 Aug 24 14:40 autrace
03:03:22-slm~ $ autrace
bash: /usr/sbin/autrace: Permission denied

ただし、タッチ/アクセスしたい「データ」が制限されているいくつかのコマンドがあるため、表示権限だけでは不十分です。

$ ls -l /sbin/ | grep "\bfdisk"
-rwxr-xr-x. 1 root root    230512 Apr 25 05:19 fdisk
$ fdisk -l
$

ここのコマンドは自分のユーザーIDで実行されますが、そのユーザーは自分のシステムの物理ディスクに関する情報にアクセスできないため、fdisk出力は表示されません。次のコマンドを使用してrootとして権限を増やすと、目的のsudo出力を表示できます。

$ sudo fdisk -l | head -10

Disk /dev/sda: 238.5 GiB, 256060514304 bytes, 500118192 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 5D1229E8-1234-1234-1234-ABCDEFG128790

Device           Start          End   Size Type
/dev/sda1         2048       411647   200M EFI System

これを制御するメカニズム

一元管理はなく、すべての制御が分散され、アプリケーション/実行ファイル（上記のように）のファイルと共に許可ビットとして保存されるか、これらのツールが使用するデータファイルまたはファイルがあるディレクトリに保存されます。場所が含まれています。

コマンドシェル

Bashがシェルで、端末がコマンドを渡すためのユーザーインターフェースであるという説明は正しくありません。代わりに、ターミナルは内部で実行されるシェル（通常Bash）で実行されるアプリケーションですが、シェルの数に制限はありません。

例えば

ps以下は、現在のシェルプロセスの構造を示すコマンドの出力です。

$ ps axf | less
...
 8549 ?        Sl     0:08 /usr/libexec/gnome-terminal-server
 8552 ?        S      0:00  \_ gnome-pty-helper
10286 pts/13   Ss     0:00  \_ bash
12783 pts/13   Sl+    5:49  |   \_ vinagre
12868 pts/14   Ss     0:00  \_ bash
15742 pts/14   R+     0:00      \_ ps axf
15743 pts/14   S+     0:00      \_ less -r

gnome-terminalここでは、上部で実行されている端末と下の子プロセスを見ることができます。これらのサブプロセスは2つのbashシェルで構成され、そのうちの1つはというアプリケーションを実行しvinagre、もう1つはpsここに示すコマンドを実行します。

追加の制限

上記は、システムユーザーが実行可能ファイルを使用する方法の基本です。しかし、これらは単なる基本です。これに加えて、さまざまな実行可能ファイルに対するアクセス制御リスト（ACL）やアクセス制御ポリシーなどの他の技術があります。

ACLは非常にシンプルで、所有者、グループなどの既存のモデルを超えて、ユーザーに詳細な制御を提供します。

SELinuxやAppArmorなどのツールは同じアプローチをとりますが、Linuxカーネルレベルでルールを作成し、Application Xがシステム全体と対話する方法を制限する機能を導入します。たとえば、Sambaサーバーを実行している場合は、このアプリケーションが通常機能する通常のゾーン外のファイルシステムへのアクセスを許可する必要があります。これを許可するには、追加のポリシーを追加する必要があります。

SELinuxのマニュアルページから抜粋

SELinux（NSA Security Enhanced Linux）は、Linuxオペレーティングシステムで柔軟な必須アクセス制御アーキテクチャを実装したものです。 SELinuxアーキテクチャは、Type Enforcement®ベースのポリシー、役割ベースのアクセス制御、およびマルチレベルセキュリティの概念など、さまざまな必須アクセス制御ポリシーを実施するための一般的なサポートを提供します。 SELinux に関する背景情報と技術文書は以下にあります。 http://www.nsa.gov/research/selinux。

コマンド部分は何ですか？

アプリケーションがシステム上の物理ファイルであるのか、それとも別のファイルであるのかわからない場合は、このコマンドを使用してtypeそれを確認できます。

$ type pwd
pwd is a shell builtin

$ type fdisk
fdisk is /usr/sbin/fdisk

したがって、上記の例ではpwdBashに組み込まれfdiskていません/usr/sbin/fdisk。

メモ:組み込みのものと同様に、それを呼び出すBashシェルの権限によって制御されます！

端末コマンドのルート要件を区別するメカニズムは何ですか？

ベストアンサー1

これを制御するメカニズム

コマンドシェル

追加の制限

コマンド部分は何ですか？

おすすめ記事