মাউন্টকে রুট সুবিধার দরকার হয় কেন?

কোনও কিছু মাউন্ট করার জন্য লিনাক্সের প্রয়োজন কী কোনও ব্যবহারকারীর মূল / মাউন্ট প্রতি বিশেষভাবে অনুমোদিত / ব্যবহার করা উচিত? এটি ব্যবহারকারীর উত্স ভলিউম / নেটওয়ার্ক ভাগ এবং মাউন্ট পয়েন্টের অ্যাক্সেস অধিকারের ভিত্তিতে কোনও কিছু মাউন্ট করার অনুমতি দেওয়ার বিষয়ে সিদ্ধান্তের মতো বলে মনে হচ্ছে। রুটবিহীন মাউন্টিংয়ের জন্য বেশ কয়েকটি ব্যবহার হ'ল ফাইল-সিস্টেম চিত্রগুলি ব্যবহারকারীর মালিকানাধীন দিকনির্দেশে মাউন্ট করা এবং একটি ব্যবহারকারীর মালিকানাধীন ডিরেক্টরিতে একটি নেটওয়ার্ক শেয়ার মাউন্ট করা। দেখে মনে হচ্ছে যে ব্যবহারকারীর মাউন্ট সমীকরণের উভয় পক্ষের নিয়ন্ত্রণ থাকলে সবকিছু শীতল হওয়া উচিত।

অ্যাক্সেস বিধিনিষেধের ব্যাখ্যা:

আমি অনুভব করি যে ব্যবহারকারীর মালিক যে মাউন্ট-পয়েন্টে অন্যথায় ব্যবহারকারীর অ্যাক্সেস থাকবে তা আমার যে কোনও কিছুতে মাউন্ট করতে সক্ষম হওয়া উচিত।

উদাহরণস্বরূপ, আমার কম্পিউটারে / dev / sda1 ব্যবহারকারীর রুট এবং অনুমতি সহ গ্রুপ ডিস্কের মালিকানাধীন brw-rw----। সুতরাং অ-রুট ব্যবহারকারীরা / dev / sda1 এর সাথে জগাখিচুড়ি করতে পারবেন না এবং স্পষ্টভাবে মাউন্টগুলি তাদের এটি মাউন্ট করার অনুমতি দেবে না। তবে যদি ব্যবহারকারী /home/my_user/my_imagefile.img এবং মাউন্ট পয়েন্ট / হোম / my_user / my_image / এর মালিক হন তবে তারা কেন সেই মাউন্ট পয়েন্টে সেই চিত্র ফাইলটি মাউন্ট করতে সক্ষম হবে না:

mount /home/my_user/my_imagefile.img /home/my_user/my_image/ -o loop

কোরম্যাক উল্লেখ করায় একটি সুইড সমস্যা আছে। সুতরাং মামলাটিকে সমস্যা এবং সেইসাথে অন্যান্য কিছু সমস্যা থেকে রোধ করতে কিছু বিধিনিষেধ যুক্ত করতে হবে। সম্ভবত এটি করার একটি উপায় হ'ল ওএস সমস্ত ফাইলকে ব্যবহারকারীর সাথে সম্পর্কিত হিসাবে বিবেচনা করে যা মাউন্টিং করেছে। তবে সরল পড়ার / লেখার / সম্পাদন করার জন্য, কেন এটি সমস্যা হবে তা আমি দেখছি না।

ব্যবহারের ক্ষেত্রে:

আমার একটি ল্যাবটিতে অ্যাকাউন্ট রয়েছে যেখানে আমার বাড়ির স্থানটি 8 জিবিতে সীমাবদ্ধ। এটি ক্ষুদ্র এবং খুব বিরক্তিকর। আমার কাছে প্রয়োজনীয় রুমের পরিমাণ বাড়ানোর জন্য আমি আমার ব্যক্তিগত সার্ভার থেকে একটি এনএফএস ভলিউম মাউন্ট করতে চাই। তবে, কারণ লিনাক্স এই জাতীয় জিনিসগুলিকে আমি স্ক্রিপিং ফাইলগুলির সাথে আটকে আটকের জন্য আট জিবি সীমাতে রাখি না।

এটি উভয়ই historicalতিহাসিক এবং সুরক্ষা নিষেধাজ্ঞা।

.তিহাসিকভাবে, বেশিরভাগ ড্রাইভগুলি অপসারণযোগ্য ছিল না। সুতরাং বৈধ শারীরিক অ্যাক্সেসযুক্ত লোকেদের মধ্যে মাউন্ট সীমাবদ্ধ করার পক্ষে তা বোধগম্য হয়েছিল এবং সম্ভবত তারা মূল অ্যাকাউন্টে অ্যাক্সেস পাবে। Fstab এন্ট্রিগুলি অপসারণযোগ্য ড্রাইভের জন্য অন্য ব্যবহারকারীদের কাছে মাউন্টগুলি ডেলিট করার অনুমতি দেয়।

সুরক্ষার দৃষ্টিকোণ থেকে, স্বেচ্ছাচারী ব্যবহারকারীদের স্বেচ্ছাসেবক অবস্থানগুলিতে স্বেচ্ছাসেবক ব্লক ডিভাইস বা ফাইল সিস্টেম চিত্র মাউন্ট করার অনুমতি দেওয়ার সাথে তিনটি বড় সমস্যা রয়েছে।

• একটি অ-মালিকানাযুক্ত স্থানে মাউন্ট করা সেই জায়গাতে থাকা ফাইলগুলিকে ছায়া দেয়। উদাহরণস্বরূপ: আপনার পছন্দের একটি ফাইল সিস্টেম মাউন্ট করুন /etc, এটির সাথে আপনার /etc/shadowজানা একটি রুট পাসওয়ার্ড রয়েছে। এটি কেবলমাত্র তার নিজের ডিরেক্টরিতে কোনও ডিরেক্টরিতে ফাইল সিস্টেম মাউন্ট করার অনুমতি দিয়ে এটি স্থির করা হয়েছে।
• ফাইল সিস্টেম ড্রাইভারগুলি প্রায়শই ত্রুটিযুক্ত ফাইল সিস্টেমের সাথে পুরোপুরি পরীক্ষা করা হয় নি। একটি বগি ফাইল সিস্টেম ড্রাইভার কোনও ব্যবহারকারীকে একটি ত্রুটিযুক্ত ফাইল সিস্টেম সরবরাহ করে কার্নেলের মধ্যে কোড ইনজেক্ট করার অনুমতি দিতে পারে।
• একটি ফাইল সিস্টেম মাউন্ট করার ফলে মাউন্টটিকে কিছু ফাইল প্রদর্শিত হতে পারে যা অন্যথায় তার তৈরি করার অনুমতি থাকবে না। Setuid এক্সিকিউটেবল এবং ডিভাইস ফাইলের সবচেয়ে বড় উদাহরণ আছে, এবং তারা দ্বারা ঠিক করা হয়েছে nosuidএবং nodevঅপশন যা থাকার ক্ষেত্রে প্রযোজ্য userমধ্যে /etc/fstab।
  এখন পর্যন্ত কার্যকর করা হয় userযখনmountরুট দ্বারা বলা হয় না যথেষ্ট। তবে আরও সাধারণভাবে অন্য ব্যবহারকারীর মালিকানাধীন একটি ফাইল তৈরি করতে সক্ষম হওয়াই সমস্যাযুক্ত: সেই ফাইলের সামগ্রীটি মাউন্টারের পরিবর্তে পুরানো মালিক দ্বারা দায়ী হওয়া ঝুঁকিপূর্ণ। একটি পৃথক ফাইল সিস্টেমে রুট দ্বারা ক্যাজুয়াল অ্যাট্রিবিউট-সংরক্ষণের অনুলিপি ঘোষিত-তবে-অবিবর্তিত মালিকের মালিকানাধীন একটি ফাইল তৈরি করবে produce কিছু প্রোগ্রাম চেক করে যে ফাইলটি কোনও নির্দিষ্ট ব্যবহারকারীর মালিকানাধীন কিনা তা পরীক্ষা করে কোনও ফাইল ব্যবহারের অনুরোধ বৈধ হয় এবং এটি আর নিরাপদ হবে না (প্রোগ্রামটি অবশ্যই পরীক্ষা করে দেখতে হবে যে অ্যাক্সেস পাথের ডিরেক্টরিগুলি সেই ব্যবহারকারীর মালিকানাধীন; যদি নির্বিচারে মাউন্টিংয়ের অনুমতি দেওয়া হয় তবে তাদের এটিও পরীক্ষা করতে হবে যে এই ডিরেক্টরিগুলির কোনওটিই একটি মাউন্ট পয়েন্ট নয় যেখানে মাউন্টটি রুট বা পছন্দসই ব্যবহারকারীর দ্বারা তৈরি হয়নি)।

ব্যবহারিক উদ্দেশ্যে, আজকাল FUSE এর মাধ্যমে রুট না হয়ে একটি ফাইল সিস্টেম মাউন্ট করা সম্ভব । FUSE ড্রাইভারগুলি মাউন্টিং ব্যবহারকারী হিসাবে চালিত হয় তাই কার্নেল কোডে বাগটি ব্যবহার করে সুযোগ-সুবিধা বৃদ্ধির ঝুঁকি নেই। FUSE ফাইল সিস্টেমগুলি কেবল সেই ফাইলগুলিই প্রকাশ করতে পারে যা ব্যবহারকারীর তৈরি করার অনুমতি রয়েছে, যা উপরের শেষ সমস্যাটি সমাধান করে।

যদি কোনও ব্যবহারকারীর একটি ব্লক ডিভাইসে সরাসরি লেখার অ্যাক্সেস থাকে এবং সেই ব্লক ডিভাইসটি মাউন্ট করতে পারে তবে তারা ব্লক ডিভাইসে একটি এক্সিকিউটেবল মামলা লিখতে পারে, মাউন্ট করতে পারে, এবং ফাইলটি চালায় এবং এইভাবে সিস্টেমে রুট অ্যাক্সেস অর্জন করতে পারে। এ কারণেই মাউন্টিং সাধারণত মূলের মধ্যেই সীমাবদ্ধ থাকে।

এখন রুটটি সাধারণ ব্যবহারকারীকে নির্দিষ্ট সীমাবদ্ধতার সাথে মাউন্ট করার অনুমতি দিতে পারে, তবে তাকে অবশ্যই নিশ্চিত করতে হবে যে ব্যবহারকারী যদি ব্লক ডিভাইসে লেখার অ্যাক্সেস পেয়ে থাকে তবে মাউন্টটি সুইডটিকে মঞ্জুরি দেয় না, এবং ডিভনডও করে, যা একইরকম সমস্যা রয়েছে (ব্যবহারকারী কারুকাজ করতে পারে) এমন একটি ডিভনোড যা তাদের একটি গুরুত্বপূর্ণ ডিভাইসে লেখার অ্যাক্সেস দেয় যা তাদের লেখার অ্যাক্সেস না করে)।

এটি সর্বদা সুপার বেসরকারী প্রয়োজন হয় না। থেকেman mount

   The non-superuser mounts.
          Normally,  only  the  superuser can mount filesystems.  However,
          when fstab contains the user option on a line, anybody can mount
          the corresponding system.

          Thus, given a line

                 /dev/cdrom  /cd  iso9660  ro,user,noauto,unhide

          any  user  can  mount  the iso9660 filesystem found on his CDROM
          using the command

                 mount /dev/cdrom

          or

                 mount /cd

          For more details, see fstab(5).  Only the user  that  mounted  a
          filesystem  can unmount it again.  If any user should be able to
          unmount, then use users instead of user in the fstab line.   The
          owner option is similar to the user option, with the restriction
          that the user must be the owner of the special file. This may be
          useful e.g. for /dev/fd if a login script makes the console user
          owner of this device.  The group option  is  similar,  with  the
          restriction  that  the  user  must be member of the group of the
          special file.

কোরম্যাক এবং অন্যরা ইঙ্গিত করেছে যে আপনি যে দ্বিধা সৃষ্টি করছেন তা এটি নয়; এটি আমার কাছে মনে হয় এটি স্পষ্টভাবে ব্যবহারকারীদের সুবিধাগুলি বনামের দর্শনের অবতারণা করে। এমন একটি সিস্টেম যার মাধ্যমে সমস্ত ব্যবহারকারীদের একটি ফাইল সিস্টেম মাউন্ট করার অপরিবর্তনীয় অধিকার থাকবে ।

গিলস মাউন্টিং ফাইল সিস্টেমগুলির সাথে যুক্ত কয়েকটি সুরক্ষা সমস্যার সমাধান করেছেন। আমি এর সাথে সম্পর্কিত সম্ভাব্য প্রযুক্তিগত সমস্যাগুলি সম্পর্কে একটি দীর্ঘায়িত এবং স্পর্শকাতর আলোচনা এড়াতে চাই (মন্তব্যগুলি দেখুন) তবে আমি মনে করি এটা ঠিক যে অবিশ্বস্ত ব্যবহারকারীদের হার্ড ড্রাইভগুলি মাউন্ট করার এক অপরিবর্তনীয় অধিকার নেই।

ভার্চুয়াল এবং রিমোট ফাইল সিস্টেমগুলি (বা ভার্চুয়াল ফাইল সিস্টেমগুলির মাধ্যমে দূরবর্তী ফাইল সিস্টেমগুলি, একটি লা ফুস) সম্পর্কিত সমস্যাটি তাত্পর্যপূর্ণ নয়, তবে এটি সুরক্ষা প্রশ্নটির সমাধান করে না (যদিও FUSE হতে পারে, এবং এটি অবশ্যই আপনার সমস্যার সমাধান করবে)। এগুলিও বিবেচনা করা গুরুত্বপূর্ণ যে এই জাতীয় ফাইলগুলির সিস্টেমে ডেটা মাউন্ট করার প্রয়োজন ছাড়াই প্রায় সর্বদা অ্যাক্সেস করা যেতে পারে, হয় ফাইল ট্রান্সফার বা সরঞ্জামগুলির মাধ্যমে যা মাউন্ট ছাড়াই চিত্রগুলি থেকে উত্তোলন করে, তাই কোনও সিস্টেম যা আপনাকে কোনও কিছু মাউন্ট করার অনুমতি দেয় না তা করে আপনি কোনও চিত্র ফাইলে উদ্ভটভাবে স্থাপন করেছেন এমন ডেটা অ্যাক্সেস করার ক্ষেত্রে বা কোন দূরবর্তী সিস্টেম থেকে পেতে চান (এমনটি আরও বোঝা যায়) ins আপনার যদি এমন পরিস্থিতি হয় যেখানে এটি না হয়, জিজ্ঞাসা করার সময় এটি উপযুক্ত হতে পারে:

1. আমি ঠিক কী করার চেষ্টা করছি?

2. আমি কোথায় এটি করার চেষ্টা করছি?

যদি সিস্টেমের প্রশাসন সুষ্ঠু হয়, তবে # 2 আপনাকে কেন # 1 অসম্ভব বলে ব্যাখ্যা করে। যদি সিস্টেমের প্রশাসন সুষ্ঠু না হয় তবে এটাই রাজনীতি । সমস্যার সমাধান, "আমার সিস্টম অ্যাডমিন ন্যায্য নয়" ওএসকে নতুন করে ডিজাইন করা নয় যাতে সর্বত্র সিস অ্যাডমিন ব্যবহারকারীদের সীমাবদ্ধ করতে না পারে।

সিস্টেমটি সুপার ব্যবহারকারীকে আপনার ক্রিয়াকলাপগুলি স্পষ্টভাবে বা বাদ দিয়ে ("আমরা FUSE সরবরাহ করি না" ইত্যাদি) সীমাবদ্ধ করার অনুমতি দেয়। সুবিধাগুলি হ'ল একটি প্রক্রিয়া যার মাধ্যমে এটি সম্পন্ন হয়। "আপনার এটি করার দরকার নেই" বলা ভাল লাগবে না তবে এটি যদি সত্য হয় ... ক্যু সেরা ... আপনার এটি করার দরকার নেই। এফটিপি ইত্যাদি ব্যবহার করুন যদি এটি সত্য না হয় তবে আপনারা দায়ীদের আটকান।

এফওয়াইআই: নতুন কার্নেলগুলির "নেমস্পেস" সমর্থন রয়েছে। সাধারণ ব্যবহারকারীরা একটি নেমস্পেস তৈরি করতে পারে, এবং সেই নেমস্পেসের মধ্যে, root মাউন্ট ফাইল-সিস্টেমের মতো মজাদার জিনিসগুলি তৈরি করতে এবং করতে পারে ।

এটি আপনাকে "প্রকৃত" সুপার-ব্যবহারকারীর অনুমতি দেয় না যদিও - আপনি কেবল যা করতে ইতোমধ্যে অনুমতি পেয়েছেন তা করতে পারেন (যেমন আপনি কেবল এমন ডিভাইসগুলি মাউন্ট করতে পারেন যা আপনি ইতিমধ্যে পড়তে পারেন)।

http://lwn.net/Articles/531114/ বিভাগ 4 দেখুন।

কারণ তারা যে ফাইলটি সিস্টেমে মাউন্ট করতে চায় তার ডেটা সার্ভারের সুরক্ষার সাথে আপস করতে পারে, বা এমনকি এটি ক্রাশও করতে পারে (যদি এটি ইচ্ছাকৃতভাবে সেভাবে নির্মিত হয়েছিল)।

জিনোমে, gvfs দূরবর্তী ফাইল সিস্টেম (ftp বা ssh) মাউন্ট করার জন্য রুটের প্রয়োজন হয় না এবং বহিরাগত স্টোরেজ (ইউএসবি ড্রাইভ, সিডি / ডিভিডি, ইত্যাদি) মাউন্ট করার জন্য জিনোম-মাউন্টেরও রুটের প্রয়োজন হয় না।

বেশিরভাগ সিস্টেমে কিছু দূরবর্তী মাউন্টিংয়ের জন্য পুরো জিনোমটি সম্ভবত না চাইলে আপনি লফস , এসএসএফএস বা এফটিপিএফ ব্যবহার করতে পারেন ।

gvfs, lufs, sshfs, এবং ftpfs নন-রুট ব্যবহারকারীদের ভার্চুয়াল ফাইল-সিস্টেম মাউন্ট করার জন্য FUSE ব্যবহার করে; এবং মাউন্ট এর বিপরীতে -o user, FUSE নির্দিষ্ট মাউন্টগুলির ব্যবস্থা করার জন্য সিসাদমিনের প্রয়োজন হয় না। যতক্ষণ আপনার মাউন্ট ডিরেক্টরি এবং ফাইল সিস্টেমটি নির্মাণের জন্য প্রয়োজনীয় সংস্থানগুলির জন্য বিশেষাধিকার রয়েছে, আপনি FUSE মাউন্ট তৈরি করতে পারেন।

মাউন্টকে রুট সুবিধার দরকার হয় কেন?

কারণ mountপ্রাথমিকভাবে / মূলত স্থানীয় ফাইল সিস্টেমের উদ্দেশ্যে, যা প্রায়শই একটি হার্ডওয়্যার জড়িত।