我们为任何用户提供NFS导出,以便为在我们客户端上/ public上安装的网络安装和维护有用的软件.在NFS服务器上,此目录是全局可写的,设置了粘滞位(如/ tmp).
该服务的一个用户在/ public中具有可执行文件的符号链接.由于我们将工作站从Ubuntu 9.04升级到10.10,因此当我们尝试通过符号链接执行此文件时,我们会获得权限被拒绝.如果我们删除粘性位,我们将不再获得权限拒绝.
我没有在我们的日志或dmesg中找到任何东西.这是一个应用程序装甲功能或Ubuntu 9.04和10.10之间引入的错误?
解决方法
您可能会看到自Ubuntu 10.10以来引入的
symlink security hardening的效果.可以通过/ proc / sys / kernel / yama / protected_sticky_symlinks关闭此功能.
在Debian上,可以通过在/etc/sysctl.conf中添加以下内容来关闭此功能:
fs.protected_symlinks = 0
关于这个主题的另一个变体是kernel.grsecurity.linking_restrictions – 这是由grsecurity patch添加的many sysctl options之一.
目前(2012-04-19),symlink保护功能尚未在上游内核中合并,尽管有一些recent effort用于合并补丁的Debian变体(以及其他一些强化更改).
