IIS7 アクセス許可の概要 - ApplicationPoolIdentity 質問する

最近、コア Web サーバーとして IIS7 にアップグレードしたのですが、アクセス許可に関する概要が必要です。以前は、ファイル システムに書き込む必要がある場合、ディレクトリまたはファイルへのアクセス権を AppPool ユーザー (ネットワーク サービス) に付与していました。 IIS7 では、デフォルトで AppPool ユーザーが に設定されていることがわかりますApplicationPoolIdentity。そのため、タスク マネージャーを確認すると、 というユーザー アカウントがWebSite.exampleIIS プロセス (「Website.example」は IIS の Web サイトの名前) を実行していることがわかります。 しかし、このユーザー アカウントを使用して権限を付与しようとすると、このユーザー アカウントは存在しません。では、どのユーザーに権限を付与するかをどのように判断すればよいのでしょうか? スクリーンショットの問題については以下を参照してください。当社のウェブサイト（連絡先) はユーザー名 SilverChip.co.uk で実行されます。しかし、権限を追加すると、このユーザーは存在しません。 AppPool イメージを参照してください:

Admin 2024-07-08

IIS AppPoolIdentity とファイル システムの書き込みアクセス許可 質問する

IIS 7.5 と ASP.NET に関する問題があり、調査していますが、解決に至っていません。ご協力いただければ幸いです。 私の質問は、IIS 7.5 で ASP.NET を使用する場合、IIS やオペレーティング システムはどのようにして、完全な信頼の下で実行されているときのように、Web アプリケーションがフォルダーに書き込むことを許可するのでしょうか。アプリケーション プール ユーザー (この場合は)C:\dumpに書き込みアクセスを明示的に追加する必要がないのはなぜでしょうか。ApplicationPoolIdentity 私が知っているのはこれだけです。 IIS 7.5 では、アプリケーション プールの既定の ID は ですApplicationPoolIdentity。 ApplicationPoolIdentity「IIS APPPOOL\AppPoolName」という Windows ユーザー アカウントを表します。これは、アプリケーション プールの作成時に作成されます。ここで、AppPoolName はアプリケーション プールの名前です。 「IIS APPPOOL\AppPoolName」ユーザーは、デフォルトでグループのメンバーになりますIIS_IUSRS。 Full Trust で実行している場合、Web アプリケーションはファイル システムの多くの領域に書き込むことができます ( C:\Users、C:\Windowsなどのフォルダーは除く)。たとえば、アプリケーションには、などの一部のフォルダーへの書き込みアクセス権が付与されますC:\dump。 デフォルトでは、IIS_IUSRSグループには読み取りまたは書き込みアクセス権は付与されませんC:\dump(少なくとも、Windows エクスプローラーの [セキュリティ] タブに表示されるアクセス権は付与されません)。 への書き込みアクセスを拒否するとIIS_IUSRS、フォルダーへの書き込みを試行したときに SecurityException が発生します (予想どおり)。 では、これらすべてを考慮すると、「IIS APPPOOL\AppPoolName」ユーザーに書き込みアクセスはどのように付与されるのでしょうか? w3wp.exe プロセスはこのユーザーとして実行されますが、このユーザーが明示的なアクセス権を持っていないと思われるフォルダーに書き込むことを許可するのは何でしょうか? 完全な信頼で実行している場合、書き込みが必要なすべてのフォルダーへのユーザー アクセスを許可するのは面倒なので、これはおそらく利便性のために行われたと理解しています。このアクセスを制限したい場合は、いつでもアプリケーションを中程度の信頼で実行できます。明示的なファイル システム アクセスが許可されていないように見える場合でも、オペレーティング システムや IIS がこれらの書き込みを許可する方法について知りたいです。

Admin 2024-07-08

macOSコマンドラインで私のディレクトリを「rm -rf」しようとすると、権限が拒否されました。

rm -rfmacOS BigSurで奇妙な動作を見つけました。フォントインストールディレクトリを作成しました。 ~/code ❯ ls -la 10:06:54 total 16 drwxr-xr-x 21 fredguth staff 672 Oct 30 08:47 . drwxr-xr-x+ 71 fredguth staff 2272 Nov 5 10:07 .. drwxr-xr-x 7 fredguth staff 224 Nov 5 09:57 FontPro <<<<======== This directory ... 私はfredguthディレクトリの所有者であるuserです。 ~/code ❯ whoami 3m 34s 10:21:34 fredguth 努力していますrm -rf FontPro。 時には次のように進行します。 rm: FontPro/tfm/MinionPro-MediumItCapt-osf-l1-ly1--lcdfj.tfm: Permission denied rm: FontPro/tfm/MinionPro-BoldIt-lf-t2a--base.tfm: Permission denied ... rm: FontPro/dvips/a_fzbwjk.enc: Permission denied rm: FontPro/dvips: Directory not empty rm: FontPro: Directory not empty 私は理解できません。私は空でないディレクトリにこれを使用しますが、必ずしも必要でない限り使用したくありませんrm -rf。sudo 私をブロックするmacOS設定がありますかrm -rf、それとも他のものがありませんか？

Admin 2024-07-09

インターフェイスがモニタモードをサポートしている場合、モニタモードを設定するときにエラーが発生するのはなぜですか？

私のシステムには次の機能があります。 iw list Wiphy phy4 max # scan SSIDs: 10 max scan IEs length: 255 bytes max # sched scan SSIDs: 0 max # match sets: 0 max # scan plans: 1 max scan plan interval: -1 max scan plan iterations: 0 Retry short limit: 7 Retry long limit: 4 Coverage class: 0 (up to 0m) Device supports AP-side u-APSD. Available Antennas: TX 0 RX 0 Supported interface modes: * managed * AP * AP/VLAN * WDS * monitor Band 1: Capabilities: 0x19e7 RX LDPC HT20/HT40 Dynamic SM Power Save RX HT20 SGI RX HT40 SGI TX STBC RX STBC 1-stream Max AMSDU length: 7935 bytes DSSS/CCK HT40 Maximum RX AMPDU length 65535 bytes (exponent: 0x003) Minimum RX AMPDU time spacing: No restriction (0x00) HT TX/RX MCS rate indexes supported: 0-31 VHT Capabilities (0x738b7992): Max MPDU length: 11454 Supported Channel Width: neither 160 nor 80+80 RX LDPC TX STBC SU Beamformer SU Beamformee MU Beamformer RX antenna pattern consistency TX antenna pattern consistency VHT RX MCS set: 1 streams: MCS 0-9 2 streams: MCS 0-9 3 streams: MCS 0-9 4 streams: MCS 0-9 5 streams: not supported 6 streams: not supported 7 streams: not supported 8 streams: not supported VHT RX highest supported: 0 Mbps VHT TX MCS set: 1 streams: MCS 0-9 2 streams: MCS 0-9 3 streams: MCS 0-9 4 streams: MCS 0-9 5 streams: not supported 6 streams: not supported 7 streams: not supported 8 streams: not supported VHT TX highest supported: 0 Mbps Frequencies: * 2412 MHz [1] (20.0 dBm) * 2417 MHz [2] (20.0 dBm) * 2422 MHz [3] (20.0 dBm) * 2427 MHz [4] (20.0 dBm) * 2432 MHz [5] (20.0 dBm) * 2437 MHz [6] (20.0 dBm) * 2442 MHz [7] (20.0 dBm) * 2447 MHz [8] (20.0 dBm) * 2452 MHz [9] (20.0 dBm) * 2457 MHz [10] (20.0 dBm) * 2462 MHz [11] (20.0 dBm) valid interface combinations: * #{ AP } <= 17, #{ managed } <= 30, #{ monitor } <= 1, total <= 17, #channels <= 1, STA/AP BI must match, radar detect widths: { 20 MHz (no HT), 20 MHz, 40 MHz, 80 MHz } Supported extended features: Wiphy phy3 max # scan SSIDs: 10 max scan IEs length: 255 bytes max # sched scan SSIDs: 0 max # match sets: 0 max # scan plans: 1 max scan plan interval: -1 max scan plan iterations: 0 Retry short limit: 7 Retry long limit: 4 Coverage class: 0 (up to 0m) Device supports AP-side u-APSD. Available Antennas: TX 0 RX 0 Supported interface modes: * managed * AP * AP/VLAN * WDS * monitor Band 2: Capabilities: 0x19e7 RX LDPC HT20/HT40 Dynamic SM Power Save RX HT20 SGI RX HT40 SGI TX STBC RX STBC 1-stream Max AMSDU length: 7935 bytes DSSS/CCK HT40 Maximum RX AMPDU length 65535 bytes (exponent: 0x003) Minimum RX AMPDU time spacing: No restriction (0x00) HT TX/RX MCS rate indexes supported: 0-31 VHT Capabilities (0x738ff9fa): Max MPDU length: 11454 Supported Channel Width: 160 MHz, 80+80 MHz RX LDPC short GI (80 MHz) short GI (160/80+80 MHz) TX STBC SU Beamformer SU Beamformee MU Beamformer RX antenna pattern consistency TX antenna pattern consistency VHT RX MCS set: 1 streams: MCS 0-9 2 streams: MCS 0-9 3 streams: MCS 0-9 4 streams: MCS 0-9 5 streams: MCS 0-9 6 streams: MCS 0-9 7 streams: MCS 0-9 8 streams: MCS 0-9 VHT RX highest supported: 0 Mbps VHT TX MCS set: 1 streams: MCS 0-9 2 streams: MCS 0-9 3 streams: MCS 0-9 4 streams: MCS 0-9 5 streams: MCS 0-9 6 streams: MCS 0-9 7 streams: MCS 0-9 8 streams: MCS 0-9 VHT TX highest supported: 0 Mbps Frequencies: * 5180 MHz [36] (20.0 dBm) * 5200 MHz [40] (20.0 dBm) * 5220 MHz [44] (20.0 dBm) * 5240 MHz [48] (20.0 dBm) * 5260 MHz [52] (20.0 dBm) * 5280 MHz [56] (20.0 dBm) * 5300 MHz [60] (20.0 dBm) * 5320 MHz [64] (20.0 dBm) * 5500 MHz [100] (20.0 dBm) * 5520 MHz [104] (20.0 dBm) * 5540 MHz [108] (20.0 dBm) * 5560 MHz [112] (20.0 dBm) * 5580 MHz [116] (20.0 dBm) * 5600 MHz [120] (20.0 dBm) * 5620 MHz [124] (20.0 dBm) * 5640 MHz [128] (20.0 dBm) * 5660 MHz [132] (20.0 dBm) * 5680 MHz [136] (20.0 dBm) * 5700 MHz [140] (20.0 dBm) * 5720 MHz [144] (20.0 dBm) * 5745 MHz [149] (20.0 dBm) * 5765 MHz [153] (20.0 dBm) * 5785 MHz [157] (20.0 dBm) * 5805 MHz [161] (20.0 dBm) * 5825 MHz [165] (20.0 dBm) * 5860 MHz [172] (20.0 dBm) * 5865 MHz [173] (20.0 dBm) * 5870 MHz [174] (20.0 dBm) * 5875 MHz [175] (20.0 dBm) * 5880 MHz [176] (20.0 dBm) * 5885 MHz [177] (20.0 dBm) * 5890 MHz [178] (20.0 dBm) * 5895 MHz [179] (20.0 dBm) * 5900 MHz [180] (20.0 dBm) * 5905 MHz [181] (20.0 dBm) * 5910 MHz [182] (20.0 dBm) * 5915 MHz [183] (20.0 dBm) valid interface combinations: * #{ AP } <= 17, #{ managed } <= 30, #{ monitor } <= 1, total <= 17, #channels <= 1, STA/AP BI must match, radar detect widths: { 20 MHz (no HT), 20 MHz, 40 MHz, 80 MHz } Supported extended features: そして： iw dev phy#4 Interface wifi1 ifindex 19 wdev 0x400000001 addr 00:03:7f:12:e9:d7 type AP channel 1 (2412 MHz), width: 20 MHz (no HT), center1: 2412 MHz txpower 42949608.96 dBm phy#3 Interface ath0 ifindex 100 wdev 0x300000050 addr 2c:27:9e:91:43:d0 type managed channel 36 (5180 MHz), width: 40 MHz, center1: 5190 MHz txpower 42949608.96 dBm Interface wifi0 ifindex 18 wdev 0x300000001 addr 2c:27:9e:91:43:d0 type AP channel 36 (5180 MHz), width: 40 MHz, center1: 5190 MHz txpower 42949608.96 dBm しかし、私がこうすれば： ifconfig ath0 down && iwconfig ath0 mode monitor && ifconfig ath0 up 次のエラーが発生します。 Error for wireless request "Set Mode" (8B06) : SET failed on device ath0 ; Invalid argument. また、 を使用すると、次のようなsudo結果が得られます。 -ash: sudo: not found ただし、rootユーザーですが、権限にいくつかの制限がある可能性がありますか？ワイヤレスインターフェイスをモニタモードに設定するにはどうすればよいですか？

Admin 2024-07-11

ファイルのコピーまたは同期時の所有権の設定

ルートにファイルを移動またはコピーするときに、ファイルを移動したいディレクトリの所有者に基づいてファイルの所有権を設定したいことがよくあります。 コピーされたすべてのファイルのrsync出力を解析し、各ファイルを削除するスクリプトの作成を開始する前に、これを行うより良い/既存の方法はありますか？ tmp/ftp/new-assests/たとえば、元のフォルダがuser_www所有の場所にフォルダをコピー/移動/同期する必要があり、ターゲットファイルとそのファイルを含む~user1/tmp/フォルダと他のフォルダを~user2/html-stuff/それぞれターゲットに所有させたいとします。ディレクトリに既存のファイルがあります。user1user2 はい、ユーザーにフォルダに対する読み取り権限がある場合はファイル自体をコピーできますが、この場合は関係ありません。これらがnologinユーザーであり、ソースファイルへのアクセス権がないとしましょう（助けになる場合）。

Admin 2024-07-14

ACLのデフォルト権限が機能しません。

私は苦しんでいますサンダー・ヴァン・ブグトRHCSAの授業を聞いてACLラップ課題に閉じ込められました。以下を考慮してください。 次の2つのグループがあります。 profs:x:1005:anna,audrey students:x:1006:linda,lisa 私のディレクトリ/ data /には、次のサブディレクトリが含まれています。 [root@vudex ~]# ls -l /data/ total 0 drwxrws--T+ 2 anna profs 22 Feb 25 02:43 profs drwxrws--T. 2 anna students 6 Feb 25 03:35 students 私の目標は、「profs」グループのメンバーに/ data / studentsディレクトリの内容を読み取ることです。したがって、現在/data/studentsにはACLとファイルはありません。 [root@vudex ~]# getfacl /data/students/ getfacl: Removing leading '/' from absolute path names # file: data/students/ # owner: anna # group: students # flags: -st user::rwx group::rwx other::--- そして [root@vudex ~]# ls -l /data/students/ total 0 ただし、ディレクトリにデフォルトのACLを設定しても、ユーザーAudreyはまだ/ data / studentの内容を読み取ることができません。あなたは "profs"グループのメンバーです。 [root@vudex ~]# setfacl -m d:g:profs:rx /data/students [root@vudex ~]# getfacl /data/students getfacl: Removing leading '/' from absolute path names # file: data/students # owner: anna # group: students # flags: -st user::rwx group::rwx other::--- default:user::rwx default:group::rwx default:group:profs:r-x default:mask::rwx default:other::--- [root@vudex ~]# su - audrey [audrey@vudex ~]$ ls -l /data/students/ ls: cannot open directory '/data/students/': Permission denied [audrey@vudex ~]$ -Rただし、フラグを使用してsetfaclコマンドを実行すると機能します。 [root@vudex ~]# setfacl -Rm g:profs:rx /data/students [root@vudex ~]# su - audrey [audrey@vudex ~]$ ls -l /data/students/ total 0 私がここで何を見逃しているのでしょうか？ディレクトリにファイルまたはサブディレクトリが含まれていない場合は、デフォルトのACLを選択する必要がありますか？

Admin 2024-07-09

ユーザーがインストールエラー（13）を提供したときに、2つのCentos仮想マシン間のcifインストール：権限が拒否されました。

centos vm（バージョン8）から別のcentos vm（バージョン7）にフォルダをマウントしようとすると、次のエラーが発生します。誰かがここで何が起こっているのか教えてもらえますか？ mount.cifs -vvv //server-ip//workspaces/folder /tmpMount -o username=user Password for user@//server-ip//workspaces/folder: ************ mount.cifs kernel mount options: ip=server-ip,unc=\\server-ip\,user=user,prefixpath=workspaces/folder,pass=******** mount error(13): Permission denied smb.conf output [global] security = user server role = standalone client use spnego = no client ntlmv2 auth = no passdb backend = tdbsam printing = cups printcap name = cups load printers = yes cups options = raw [workspaces] path = /workspace/path browseable = Yes writable = no guest ok = Yes read only = Yes 以下はdmesgログです。 cifがマウントされるのを妨げるものがないことを確認するために、ファイアウォールとselinuxを無効にしました。 smb.serviceが実行中です。もっと確認する必要があるかどうかはわかりません。 Jan 28 15:01:26 localhost.localdomain notice kernel: Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE Jan 28 15:01:26 localhost.localdomain err kernel: CIFS VFS: Send error in SessSetup = -13 Jan 28 15:01:26 localhost.localdomain err kernel: CIFS VFS: cifs_mount failed w/return code = -13 [user@localhost ~]$ sestatus SELinux status: disabled

Admin 2024-07-12

sudo権限なしでスクリプトでUSBドライブの読み取り/書き込み操作を処理する

私は時々USBドライブデバイスに書き込む必要があるアプリケーションを開発しています。アプリケーションは root ではなく権限で実行され、ドライブに書き込む最善の方法は、ドライブを接続するとすぐにリフレッシュオプションを使用してマウントすることです。理論的にはマウント解除を行う必要はありません。次のudevルールを使用するには： ACTION="add", KERNEL="sd*[0-9]", SUBSYSTEMS="usb", RUN+="/bin/sh mymountscript.sh '%E{DEVNAME}'" インストールスクリプトは、次の方法でコマンドを呼び出そうとします。 mount -o --flush $1 /media/my-user/my-usb-unit しかし、私は理解していますこのインストールエラー: mount: wrong fs type, bad option, bad superblock on /dev/sdb1, missing codepage or helper program, or other error 興味深いことに、udevルールを介してインストールしようとしたときにのみこのエラーが発生します。mymountscript.shその時点で、デバイスが正しく取り付けられていると自分自身を呼び出す場合です。 この問題に対する解決策に加えて、このタスクを実行するときにどのようなリスクがあるかを知りたいです。 （ファイルを作成した後にドライブをマウント解除しないので理解しています。）別の方法で行く場合は、デバイス自体をインストール/削除するには、アプリケーションスクリプト（ユーザーの代わりに実行されます）が必要です。これを行うには、デバイスを挿入するときにデバイス名をどこかに保存し、アプリにデバイスのインストール権限を付与する必要があります。 オペレーティングシステムはXubuntu 16.04です。

Admin 2024-07-16

スクリプトを介して他の所有者のディレクトリを操作する方法は？

数日前にElasticsearchをインストールしましたが、 Elasticsearch設定のいくつかの問題を診断するためにのログファイルをチェックして追跡し/var/log/elasticsearchましたが、明らかにディレクトリの所有者はグループであるため、 rootに切り替えてtail（エレガントな設定ではない）を適用elasticsearchするelasticsearchことで行いました。方法）解決しました。 さて、これらのファイルを追跡するための簡単なスクリプトを作成したいと思います（tmuxを使用しています）。スクリプトの使用中に権限の問題を克服する方法を提案する人はいますか？私はelasticsearchユーザーに所有権を維持することを好みます。

Admin 2024-07-09

ソフトリンクの生成

ファイルへのソフトリンクを作成しようとしていますが、許可拒否メッセージが引き続き表示されます。 rootユーザーの下に作成したくないので、私が作成した他のユーザーの下に作成したいと思います。ユーザーはファイルに対するrwx権限を持っており、権限の拒否を引き起こすために私が欠けているものが何であるか疑問に思います。私が使用するコマンドは ln -s /home/MarxBros/marx1.txt /marx1.lnk ユーザーは/home/MarxBrosディレクトリのmarx1.txtとrwxを所有しています。

Admin 2024-07-30

必須グループが使用されていても、Samba サーバーシステムのローカルユーザーはデフォルトグループを使用します。

そのため、権限のあるパスワードで保護されたSamba共有を設定しようとしています。すべてが正しく設定され、Samba共有が期待どおりに機能していると思います。 しかし、ローカルユーザーが共有と同じディレクトリにアクセスして使用する際に小さな問題があります。ユーザーが作成するすべてのエントリは、プライマリグループ（ファイルサーバー管理外の他のグループ）を所有者として持つことになり、必要なグループがあってもSamba共有の他のユーザーは編集できません。これはおそらく意図した方法で動作することを知っていますが、とにかくLinuxシステムの特定のディレクトリに特定のユーザーグループを強制的に適用できますか、それともユーザーのデフォルトグループを変更する必要がありますか？それとも別の解決策がありますか？ これが役立つ場合は、Ubuntu Server 20.04を使用しています。 これは私のSamba共有設定です。 [Aether] comment = file-server-share path = /mnt/omega valid users = @file-server-admin browsable = yes writable = yes read only = no force group = file-server-admin create mask = 0664 force create mode = 0664 directory mask = 0774 force directory mask = 0774

Admin 2024-07-23