সুপারিশকারী কোন অ্যাক্সেসের অধিকার লঙ্ঘন করতে পারে না?

23

ফরাসী ভাষায় ব্রাউ। জর্জ তার একটি বক্তৃতায় বলেছিলেন (এটি রাশিয়ান ভাষায়) যে অ্যাক্সেসের কিছু অধিকার রয়েছে যা সুপারভাইজার লঙ্ঘন করতে পারে না। এটি এমন কিছু অ্যাক্সেস অধিকার রয়েছে যা সুপারভাইজারকে কিছু করতে নিষেধ করতে পারে।

আমি ইন্টারনেটে এই তথ্যটি সন্ধান করতে সক্ষম হই নি এবং তারা কী সে সম্পর্কে আমি আগ্রহী। এটি সম্ভবত সিস্টেমের মূল প্রয়োগের সাথে সম্পর্কিত কিছু, তাই না? তিনি কিছু সিস্টেম প্রক্রিয়া বন্ধ করতে পারেন না? অথবা তিনি কি বাস্তব প্রক্রিয়া চালাতে পারবেন না?

এই প্রশ্নটি সেলইনাক্সের সাথে সম্পর্কিত নয় (জর্জ প্রশ্নের ঠিক আগে এটি নিয়ে কথা বলছিলেন)।

root privileges access-control

— Kolyunya
সূত্র

2

একটি "অধিকার" বা "অনুমতি" হ'ল কিছু করার অধিকার, একটি অধিকার যা নির্দিষ্ট ব্যবহারকারী অ্যাকাউন্টগুলিতে মঞ্জুর করা যেতে পারে। ইউনিক্স এবং লিনাক্সে (সেলেনাক্সের মতো কঠোর সংস্করণগুলি বাদ দিয়ে) মূলের সমস্ত অধিকার রয়েছে। মঞ্জুর করা যায় এমন কোনও অধিকার নেই root, এবং সেইজন্য এমন কোনও অধিকার থেকে দূরে নেওয়া যায় না root।

— এমসাল্টাররা

1

@ ক্ষুদ্র, ক্ষমা? প্রক্রিয়া সক্ষমতা প্রত্যাহারকালে কেউ অবশ্যই ইউআইডি 0 রাখতে পারে।

— চার্লস ডাফি

... সেট করুন SECBIT_NOROOT, এবং uid 0 হওয়ার পরে আর একটি ক্ষমতা স্বয়ংক্রিয়ভাবে মঞ্জুরি দেয় না।

— চার্লস ডাফি

এতগুলি উত্তর - এটি একটি সম্প্রদায়ের উইকিতে পরিণত করা কি বোধগম্য হবে, বা কেউ সংক্ষিপ্ত উত্তর লিখতে হবে?

— সাইমন রিখটার

1

@ সিমোনরিখর আমি তার বক্তৃতায় কী বোঝাতে চেয়েছিলেন তা জানাতে আমি জর্জের ভূমিকায় যাচ্ছি।

— কোলুনিয়া

24

অ্যাকসেস রুট করতে অস্বীকার :

rootসরাসরি নেটওয়ার্ক অ্যাক্সেস অস্বীকার করা যেতে পারে। এটি ইন্টারনেট সংযুক্ত হোস্টগুলিতে দরকারী, কারণ আপনার smithতখন যেমন লগইন করা দরকার sudo।

কিছু স্টাফ রুট করতে পারে না :

এটি সুবিধার অভাবের জন্য নয়। রুট কিছুই করতে পারে না তা দেখতে পাচ্ছি না, তবে কিছু প্রযুক্তিগত সমস্যাগুলি "নিষিদ্ধ" হিসাবে অভিজ্ঞ হতে পারে।

আমি রুট, আমি কেন এই ফাইলটি তৈরি / মুছতে পারি না, যখন সাধারণ ব্যবহারকারী পারে?

আপনি একটি এনএফএস / সাম্বা শেয়ারে আছেন এবং আপনাকে নির্দিষ্ট ( access=) অনুমোদন দেওয়া হয়নি। সাধারণ ব্যবহারকারী সাধারণ আইনে ব্যর্থ হন। (নীচে স্থানীয় বনাম দূরবর্তী রুট দেখুন)

আমি মূল, কেন আমি এই প্রক্রিয়াটি হত্যা করতে পারি না?

একটি মুলতুবি I / O রয়েছে এবং ফিজিকাল ড্রাইভ / রিমোট LUN সংযোগ বিচ্ছিন্ন হয়ে গেছে, প্রক্রিয়াটি কেবল পুনরায় বুট দ্বারা হত্যা করা যেতে পারে।

আমি রুট, আমি কীভাবে আরকেমারের পাসওয়ার্ড পাব?

আপনি su - archemarঠিকঠাক করতে পারেন , বা পূর্বেরটি না জেনে আরচারারের পাসওয়ার্ড পরিবর্তন করতে পারেন তবে আপনি এটি (কোনও কী লগারের সংক্ষেপে) পড়তে পারবেন না, কারণ পাসওয়ার্ডগুলি একমুখী হ্যাশ ব্যবহার করে সংরক্ষণ করা হয়।

স্থানীয় বনাম দূরবর্তী রুট

আপনি আপনার স্টেশন / পিসিতে রুট হতে পারেন এবং একটি সংস্থা / কলেজ / বিশ্ববিদ্যালয় / সরবরাহকারী এনএফএস ভাগ ব্যবহার করতে পারেন।
কম্পিউটার এক্সপোর্ট রফতানিতে আপনার কেবলমাত্র একটি অ-রুট লগইন থাকতে পারে।

এখন

cp /bin/bash /nfs/home/me/bash
chown root /nfs/home/me/bash
chmod u+s /nfs/home/me/bash

কেবল এনএফএস সার্ভারে লগ ইন করুন, চালান ./bashএবং আপনি সংস্থা / বিশ্ববিদ্যালয় সার্ভারে রুট হন।

— Archemar
সূত্র

কেস 1 হ'ল মূলত একটি ত্রুটি কারণ আপনি কেবল rootস্থানীয়ভাবেই, অন্যান্য সিস্টেমে অগত্যা নয়। কেস 2 এবং 3 কোনও অধিকার নয় (এগুলি কাউকে দেওয়া যায় না)। সুতরাং +1, আপনার প্রথম বাক্যটি সঠিক বলে মনে হচ্ছে।

— MSalters

প্রযুক্তিগতভাবে, rootস্থানীয় মেশিনে স্থানীয় ব্যবহারকারীর মতো সমান সুযোগ-সুবিধার সাথে su - usernameঅন্য কিছু না করে কিছু করতে পারে। আমি কখনই নিশ্চিত নই যে তারা কেন এমনভাবে rootনেটওয়ার্ক শেয়ার লিখতে না পেরে বিরক্ত করেছিল ; এটা বরং অর্থহীন বলে মনে হচ্ছে।

— টম হান্ট

4

এটি পুরানো প্রশ্ন " rootএমনকি তিনি অ্যাক্সেস করতে পারবেন না এমন একটি পাসওয়ার্ড তৈরি করতে পারেন?"

— কর্সিকা ২a

5

@ টমহান্ট, rootএনএফএস শেয়ারগুলিতে অ্যাক্সেস না দেওয়ার অন্যতম কারণ হ'ল রিমোট সার্ভারে "স্যুইড রুট" বাইনারি তৈরি করা রোধ করা, এটি সার্ভারে সম্পূর্ণ দূরবর্তী অ্যাক্সেসে ব্যবহার করা যেতে পারে something

— চিহ্নিত করুন

1

নিরবচ্ছিন্ন অপেক্ষায় কোনও প্রক্রিয়া হত্যা আমার পক্ষে অধিকার বলে মনে হয় না । এটি এমন কিছু যা আপনি ঠিক করতে পারবেন না। একটি সম্পূর্ণ ফাইল সিস্টেমে লেখার মতো।

— ব্ল্যাকলাইট জ্বলজ্বল

11

সাধারণ ক্ষেত্রে, এটি ভুল - সুপারভাইজারের সিস্টেম দ্বারা প্রদত্ত যে কোনও কার্যকারিতাটির জন্য অধিকার / অনুমতি রয়েছে (1)। এই নিয়মটি যেখানে ভেঙে যায় তা হ'ল আপনি যখন মিশ্রের মধ্যে সেলিনাক্স নিক্ষেপ করেন। সেলইনাক্সের সাহায্যে কিছু ক্রিয়া নিষ্ক্রিয় করার জন্য এমনকি মূলের অধিকারগুলি সীমাবদ্ধ করা সম্ভব। তবে, অনুমোদিত না হওয়া নির্দিষ্ট ক্রিয়াগুলি স্থানীয় মেশিনের সেলইনাক্স কনফিগারেশনের উপর নির্ভরশীল, তাই এমনকি সেলইনাক্সের সাথেও, এই প্রশ্নের উত্তর সাধারণ অর্থে দেওয়া যায় না।

(1) - যদি কোনও সিস্টেম কোনও প্রদত্ত বৈশিষ্ট্য সরবরাহ করে না, যেমন কোনও রিয়েল-টাইম কার্নেল কার্যকারিতা নেই, তবে আমি "মূলটির এই কার্যকারিতাটিতে অ্যাক্সেস নেই" বিবৃতিটি মিথ্যা বলে বিবেচনা করছি, যেহেতু বিবৃতিটি নির্ভর করে মিথ্যা অনুমান (যথা যে প্রদত্ত বৈশিষ্ট্যটি সেই সিস্টেমে যে কারও জন্য উপলব্ধ)

— জন
সূত্র

1

আপনার উত্তরের জন্য ধন্যবাদ, জন! তবে তিনি স্পষ্টতই বলেছিলেন যে এই প্রশ্নটি

— সেলিনাক্সের

তারপরে আরও বিশদ বাদ দিয়ে, আমি বিবৃতিটি বিবেচনা করতে যাচ্ছি যে রুটের নির্দিষ্ট কার্যকারিতার অ্যাক্সেসটি মিথ্যা হতে পারে না। (আমি

— জন

আপনার কাছে এমন জটিলতাও রয়েছে যা রুটটি সেলইনক্স কনফিগারেশন নিয়ন্ত্রণ করে। যদি আমি (মূল হিসাবে) কোনও ক্রিয়ায় অবরুদ্ধ থাকে তবে আমি ক্রিয়াটিকে অনুমতি দেওয়ার জন্য SELinux সংশোধন করতে পারি এবং তারপরে এটি আবার পরিবর্তন করতে পারি। লগ ট্রেইলটি কোথায় সংরক্ষণ করা হয়েছে তার উপর নির্ভর করে এটি থেকে দূরে যেতে পারে।

— didal24

2

অগত্যা সত্য নয়। এটির CAP_NET_ADMIN সরিয়ে নিন, এবং 0 বার হওয়া সত্ত্বেও কোনও প্রক্রিয়া নেটওয়ার্ক কনফিগারেশন পরিবর্তন করতে দেয় না। (একইভাবে সিএপিএসওয়াইএস_এডিএমআইএন এবং এটি নিয়ন্ত্রণ করে এমন ক্ষমতাগুলির জন্য))।

— চার্লস ডাফি

5

একদিকে, এমন কিছু জিনিস রয়েছে যা কোনও ব্যবহারকারী করতে পারে না, যেমন

হার্ড-লিঙ্কিং ডিরেক্টরি (ফাইল সিস্টেম সীমাবদ্ধতার কারণে)
ইতিমধ্যে পোড়া সিডি-রমে লিখিত (কারণ পদার্থবিজ্ঞান)

তবে সেগুলি কোনও অধিকার নয়, কারণ তাদের মঞ্জুর করা যায় না, কারও পক্ষে এটি সম্ভব নয়।

তারপরে পুরো সিস্টেম বা এর অংশগুলির জন্য এমন বাধা রয়েছে যা চালু বা বন্ধ করা যায় or
উদাহরণস্বরূপ, ওএস এক্সে কেবলমাত্র অ্যাপল দ্বারা স্বাক্ষরিত থাকলে কোড চালানোর অনুমতি দেওয়ার একটি বিকল্প রয়েছে।

আমি এটিকে একটি প্রকৃত সুযোগ হিসাবেও বিবেচনা করি না, কারণ সুপারভাইজার না পারলে কোনও ব্যবহারকারীর তা থাকতে পারে না। আপনি কেবল বিশ্বব্যাপী এটি অক্ষম করতে পারেন।

সম্পাদনা:
এক্সিকিউটেবল বিট ছাড়াই কোনও ফাইল সম্পর্কে আপনার ধারণাও এই বিভাগে আসবে, কারণ আক্ষরিকভাবে কেউ এটি করতে সক্ষম নয় এবং কাউকেই সেই অনুমতি দেওয়া যাবে না।
এবং অন্য ব্যবহারকারী বা গোষ্ঠীটিকে সেই ফাইলটি চালনার অনুমতি দেওয়ার পরেও মূল নয় বা কোনও ব্যবহারকারী গোষ্ঠী রুট নেই, রুট এখনও সেই ফাইলটি কার্যকর করতে সক্ষম হবে (ওএস এক্স 10.10, 10.11 এবং উবুন্টু 15.04 সার্ভারে পরীক্ষিত)।

এই কেসগুলি বাদে মূলত কিছুই করতে পারে না। কার্নেল মোড
নামে একটি জিনিস রয়েছে (ব্যবহারকারী মোডের বিপরীতে)।

যতদূর আমি জানি, একটি বুদ্ধিমান সিস্টেমে কেবল কার্নেল, কার্নেল এক্সটেনশন এবং ড্রাইভারগুলি কার্নেল মোডে চালিত হয় এবং অন্য সমস্ত কিছু (যে শেলটি থেকে আপনি রুট হিসাবে লগ ইন করেছেন) সহ ব্যবহারকারী মোডে চলে run
সুতরাং আপনি যুক্তি দিতে পারেন যে "রুট হওয়া যথেষ্ট নয়"। তবে, বেশিরভাগ সিস্টেমে রুট ব্যবহারকারী কার্নেল মডিউলগুলি লোড করতে সক্ষম হয়, যা কার্নেল মোডে সঞ্চালিত হবে, কার্যকরভাবে কার্নেল মোডে রুটকে কোড চালানোর পদ্ধতি দেয় giving

তবে এমন কিছু সিস্টেম রয়েছে (আইওএসের মতো) যেখানে এটি (নির্বিচারে) সম্ভব নয়, কমপক্ষে সুরক্ষা পুরোপুরি কাজে লাগানো ছাড়াই নয়। এটি বেশিরভাগ কোড সাইনিং প্রয়োগকারীগুলির মতো বর্ধিত সুরক্ষার কারণে।
উদাহরণস্বরূপ, এখানে আইডেভিসেস প্রসেসরে অন্তর্নির্মিত AES এনক্রিপশন কী রয়েছে যা কেবল কার্নেল মোড থেকে অ্যাক্সেস করা যায়। কার্নেল মডিউল পারে সেই অ্যাক্সেস করতে, কিন্তু যারা কার্নেল মডিউল কোড এছাড়াও কার্নেল তাদের গ্রহণ করার জন্য, যাতে আপেল দ্বারা সাইন ইন করা হবে।

ওএস এক্স-তে, সংস্করণ 10.11 (এল ক্যাপিটান) থেকে একটি তথাকথিত "রুটলেস মোড" রয়েছে (যদিও নামটি বিভ্রান্তিকর কারণ মূল এখনও বিদ্যমান), যা ইনস্টলাররা এখনও করতে পারে এমন কিছু কিছুকে কার্যকরভাবে নিষেধ করে।
থেকে বরাত দিয়ে AskDifferent উপর এই চমৎকার উত্তর :

মূল থেকে শুরু করে এমনকি যা এখানে সীমাবদ্ধ তা এখানে:

আপনি / সিস্টেম, / বিন, / এসবিন, বা / ইউএসআর (/ usr / স্থানীয় ব্যতীত) কিছু পরিবর্তন করতে পারবেন না; বা অন্তর্নির্মিত অ্যাপস এবং ইউটিলিটিগুলির কোনও any কেবল ইনস্টলার এবং সফ্টওয়্যার আপডেটগুলি এই অঞ্চলগুলিকে সংশোধন করতে পারে এবং অ্যাপল-স্বাক্ষরিত প্যাকেজ ইনস্টল করার সময় এমনকি তারা এটি করে।

— Siguza
সূত্র

1

আসলে, আপনি এক্সিকিউটেবল বিটস সেট ছাড়াই এক্সিকিউটেবল চালাতে পারবেন: gcc -o hello hello.c && chmod 400 hello && /lib64/ld-linux-x86-64.so.2 ./helloপ্রত্যাশিত Hello, World!আউটপুট দেয় ,

— ডালাল ২৪

@ ডগও'নিল কিন্তু তখন কি /lib64/ld-linux-x86-64.so.2প্রকৃত বাস্তবায়নযোগ্য নয় এবং ./helloএটির পক্ষে কেবল একটি যুক্তি? কারণ এটি পিএইচপি কোড সম্বলিত একটি পাঠ্য ফাইল পিএইচপি ইন্টারপ্রেটারকে পাস করার মতো ... বা ব্যাশ স্ক্রিপ্ট ব্যবহার করার মতো bash ./my_script...

— সিগুজা

1

@ ডগও'নিল যা কাজ করত, তবে গ্লিবিসি'র সাম্প্রতিক সংস্করণগুলিতে অক্ষম ছিল (এটিকে নেক্সেক মাউন্টগুলির তুচ্ছ বাইপাস হতে আটকাতে)।

— ডাস্কউফ

@ ডুসকুফ সাম্প্রতিক গ্লিবিসি'র সংস্করণ কীভাবে? এটি এখনও উবুন্টু 14.04 এর অধীনে কাজ করে।

— didal24

1

অ্যাপল Ln কিন্তু সিস্টেম বর্গ থেকে এটি যোগ না যে Ln ব্যবহারসমূহ যেমন লিংক মঞ্জুরি দিই এই দেখতে stackoverflow.com/a/4707231/151019 এই টাইম মেশিন কাজ করে

— user151019

4

আপনি যে "সিস্টেমের কোর এক্সিকিউশন" উল্লেখ করছেন সেটি rootনিয়ন্ত্রণের অধীনে যেমন লোডেবল কার্নেল মডিউলগুলির মাধ্যমে। অবশ্যই, ধরে নেওয়া হচ্ছে কার্নেল মডিউলগুলি লোড করা হচ্ছে কার্নেল দ্বারা সমর্থিত, কোনওরূপে এমনটিও সম্পাদন করা সম্ভব নয় যা সম্ভব হয় না root।

সিস্টেম প্রক্রিয়াগুলির ক্ষেত্রেও এটি একই true rootযে কোনও প্রক্রিয়া মারার অনুমতি দেওয়া হয়েছে, তবে কার্নেল মোডে চলমান কোনও প্রক্রিয়া কার্নেলের অখণ্ডতার সাথে সমঝোতা না করে থামানো অসম্ভব, সুতরাং এই জাতীয় প্রক্রিয়াটি তাত্ক্ষণিকভাবে বন্ধ করা সহজ নয়। দ্রষ্টব্য যে rootএই প্রক্রিয়াগুলিকে হত্যা করতে অস্বীকার করা হবে না, খুন খালি নিজেই কার্যকর হবে না।

অবশেষে, আসল মোড: লিনাক্স কার্নেলের এর জন্য কোনও সমর্থন নেই, সুতরাং পুনরায়, কেউই অপরিবর্তনীয় এমনকি করতে পারে না root।

@ সিগুজা xঅনুমতি ছাড়াই ফাইলগুলি কার্যকর করার কথা উল্লেখ করেছিলেন , যা rootব্যবহারকারীর পক্ষে যথেষ্ট সম্ভব :

/lib/ld-linux.so.2 /path/to/executable

— দিমিত্রি গ্রিগরিএভ
সূত্র

... তবে একটি uid-0 প্রক্রিয়া /proc/kmemক্ষমতা প্রত্যাহারের মাধ্যমে নতুন কার্নেল মডিউলগুলি (বা এর মাধ্যমে হটপ্যাচ ) লোড করার ক্ষমতা হারাতে পারে ।

— চার্লস ডাফি

4

একটি উদাহরণ অপরিবর্তনীয় ফাইলকে সংশোধন করা হতে পারে: আপনি এটির iসাথে একটি ফাইল অ্যাট্রিবিউট সেট করতে পারেন chattrযা ফাইলটিকে মূলের জন্যও অপরিবর্তনীয় করে তোলে। উদাহরণ স্বরূপ:

# whoami
root
# touch god
# chattr +i god
# rm god
rm: cannot remove ‘god’: Operation not permitted
# touch god
touch: cannot touch ‘god’: Permission denied

নোট করুন যে ফাইলটি ls -lআউটপুটে সাধারণ লিখনযোগ্য ফাইল হিসাবে উপস্থিত হয় :

# ls -l god
-rw-r--r-- 1 root root 0 Oct 26 19:27 god

iবৈশিষ্ট্যটি দেখতে , আপনাকে ব্যবহার করতে হবে lsattr:

# lsattr god
----i----------- god

Chattr এর ম্যানুয়েল পৃষ্ঠা সম্পর্কে নিম্নলিখিত রাজ্যের iঅ্যাট্রিবিউট:

`I 'বৈশিষ্ট্যযুক্ত কোনও ফাইল পরিবর্তন করা যায় না: এটি মোছা বা পুনরায় নামকরণ করা যায় না, এই ফাইলটিতে কোনও লিঙ্ক তৈরি করা যায় না এবং ফাইলটিতে কোনও ডেটাও লেখা যায় না। কেবল সুপারইজার বা CAP_LINUX_IMMUTABLE সক্ষমতা সম্বলিত একটি প্রক্রিয়া এই বৈশিষ্ট্যটি সেট বা সাফ করতে পারে।

যদিও, রুট সহজেই অপরিবর্তনীয়তাটিকে পূর্বাবস্থায় ফিরিয়ে আনতে পারে:

# chattr -i god
# rm -v god
removed ‘god’

— Tuomas
সূত্র

লিনাক্স কার্নেল বিএসডি সুরক্ষিত সুবিধাটি (আর) যথাযথভাবে প্রয়োগ করে না , আপনাকে অপরিবর্তনীয় এবং কেবলমাত্র বৈশিষ্ট্যগুলিতে সংযোজন রিটার্ন দেয় । সঙ্গে securelevel , এই বিট করা একবার সিস্টেম একটি multiuser রান-লেভেল মধ্যে, তাই অ্যাডমিন শাট ডাউন এবং একটি স্থানীয় কনসোল, যা নেটওয়ার্ক আক্রমণকারীদের বন্ধ করে দেয় ব্যবহার করতে হবে রিসেট করতে পারেন।

— সাইমন রিখটার

2

ফ্রিবিএসডি- gmirrorতে আপনি ইতিমধ্যে মাউন্ট করা পার্টিশনটি এমনকি মূল হিসাবে ব্যবহার করতে পারবেন না :

গিরির লেবেল -v -b gm0s1 ad4s1
গিরির পছন্দ করে: ad4s1 এ মেটাডেটা সংরক্ষণ করতে পারে না: অপারেশন অনুমোদিত নয়।

আপনি একটি সেট করতে sysctl( kern.geom.debugflags=16) এটিকে কাজ করতে সক্ষম হবে।

rootসুবিধাপ্রাপ্ত ব্যবহারকারী, তবে এই অধিকারগুলি কার্নেল দ্বারা দেওয়া হয়েছে। কার্নেল এর চেয়ে আরও বেশি সুবিধা পেয়েছে root।

— Vinz
সূত্র

1

রুট ব্যবহারকারী নিজে থেকেই সহযোগিতা ধরে নিচ্ছেন, rootFUSE মাউন্টগুলি ( allow_otherবা allow_rootবিকল্পগুলির সাহায্যে) অ্যাক্সেস করা থেকে বাধা দেওয়া যেতে পারে , তবে এটি কারণ FUSE এইভাবে কাজ করার জন্য ডিজাইন করা হয়েছিল। যেহেতু FUSE ভার্চুয়াল স্তরটিতে থাকে তাই এটি যুক্তির উপর ভিত্তি করে যে কোনও ত্রুটি ফিরে আসতে পারে, সাধারণ ব্লক ডিভাইস মডিউলগুলির বিপরীতে যা অন্য স্তরে অনুমতিগুলি অর্পণ করে যতটা সম্ভব স্বচ্ছ এবং পাতলা হওয়ার চেষ্টা করে।

এটি রুট ব্যবহারকারীকে বিকল্পটি অক্ষম করতে বা FUSE মডিউলটি পরিবর্তিত করে বিকল্পটি বাতিল করে দেয় না, যদি না আপনি কেবল ফাইল-সিস্টেমকে পঠনযোগ্য করে থাকেন। যাইহোক, এটি কেবল "যিনি প্রহরীকে দেখেন" পরিস্থিতি নিয়ে আসে: আপনি কীভাবে যাচাই করতে পারেন যে সিস্টেমটি মিথ্যা বলছে না? আপনার শেল এমনকি একটি ক্রুটে বসে থাকতে পারে যা আপনাকে বৈধ FUSE মডিউল দেখায়, যখন কার্নেলটি আসলে এটির একটি খারাপ সংস্করণ চালাচ্ছে।

— sleblanc
সূত্র

0

আমি বলব যে এক্সিকিউটেবল ফাইলগুলি কার্যকর করতে অক্ষমতা তুচ্ছভাবে একটি সীমাবদ্ধতা, কারণ এটি ফাইল অনুমতিগুলির উপর নির্ভর করে। (নন-এক্সেকটেবল ফাইলের জন্য, তবে কোনও অ-এক্সেকিউটেড মাউন্টের কোনও ফাইল নয় তবে /lib64/ld-linux-x86-64.so.2 ব্যবহার করে এটি প্রায় পাওয়া সম্ভব)

বাধ্যতামূলক ফাইল লকগুলির সমস্যাও রয়েছে, যা কোনও ফাইল বর্তমানে কোনও প্রক্রিয়া দ্বারা ব্যবহৃত হয় তবে ফাইল সম্পাদনা রোধ করে, যদিও সুপার ব্যবহারকারী প্রক্রিয়াটি মেরে ফেলতে পারে।

এক পর্যায়ে, ডিভাইসটি ব্যস্ত থাকাকালীন সুপার ব্যবহারকারী কোনও ডিভাইস আনমাউন্ট করতে পারেনি, তবে এটি এখন একটি অলস পরিমাণ ব্যবহার করে করা যেতে পারে।

অন্যান্য সীমাবদ্ধতাগুলি হ'ল:

অপরিবর্তনীয় ফাইলগুলি সংশোধন করতে পারে না, এবং কেবলমাত্র ফাইলগুলিতে সংযোজন করতে পারে (লিনাক্স সুপার ব্যবহারকারীকে অপরিবর্তনীয় অপসারণ করতে এবং কোনও রান-স্তরে কেবল পতাকাগুলি সংযোজন করতে দেয়, তবে আংশিকভাবে তাদের উদ্দেশ্যকে পরাস্ত করে)

কেবল পঠনযোগ্য মাউন্টটিতে লিখতে বা কোনও অ-এক্সিকিউট মাউন্টে কিছু চালানো যায় না

একটি বাঁধনযোগ্য মাউন্ট বাঁধাই করতে পারে না

কোনও ফাইল সিস্টেমকে কেবল পঠনযোগ্য ব্লক ডিভাইস যদি পঠনযোগ্য হিসাবে পুনরায় গণনা করতে পারে না

অন্য ব্যবহারকারীর মালিকানাধীন ফিউজ মাউন্টে কোনও কিছু স্থির করতে পারে না, যদি না এটি অনুমতি-অন্য বা অনুমতি-রুটের মাউন্ট থাকে

SELinux সেটিংস লঙ্ঘন করতে পারে না

সিস্টেমে অন্তর্নিহিত সীমাবদ্ধতাগুলি ইচ্ছাকৃত, যা মূলকে প্রভাবিত করে:

কোনও ফাইলের সি-সময় সরাসরি সেট করতে পারে না (বা জন্মের সময়, যদি তা প্রয়োগ করা হয়)

সরল পাঠ্য হিসাবে পাসওয়ার্ডগুলি দেখতে পারে না

— অন্য লোক
সূত্র