CurveFs 用户权限系统调研（已实现）© XXX Page 2 of 33 一、Curvefs测试 1. 启动curvefs 问题1：root用户无法访问挂载目录 测试 allow_root 测试allow_other 参考文献 问题2：本地文件系统挂载默认是共享的？ 问题3：文件系统访问控制是在哪一层实现的？ 二、文件系统权限管理 文件类型 文件权限 特殊权限(SUID, SGID SGID, STICKY) 文件默认权限umask 用户&用户组 文件系统用户权限管理 对mode的管理 对ACL（Access Control Lists）的管理 ACL Access Entry保存在哪？ ACL的表示 内存中的ACL 是如何与具体的 Inode 相关联 如何存储和获取ACL信息 Inode权限校验 chmod、chown、setfacl、getfacl接口文件系统自己如何实现 cd: fsmount: Permission denied© XXX Page 4 of 33 查阅资料发现这是fuse的一种安全策略，默认是只有filesystem owner拥有该文件系统的访问权限，如果想要其他用户有权访问，需要在挂载参数中指定‘-o allow-root’ 或'-o allow-other'以允许相应用户有权访问该文件系统，如果挂载者不是root还需要在/etc/fuse.

总 针对不同的渗透阶段,所可能会⽤到的⼀些技术都做了详尽梳理说明 (后⾯可能还会整理出对应的完整⼯具链,虽然那 不是最主要的) 由于红队不同于⼀般的渗透测试, 强调更多的是如何搞进去拿到相应机器权限 或者 实现某特定⽬的 ⽽不局限于你⼀定要在什么时间, ⽤什么技术 或者 必须通过什么途径去搞,相⽐传统渗透测试,红队则更趋于真实的 ⼊侵活动 这种场景其实对防御者的 实战对抗经验 和 技术深度 ⼯具的熟练掌握仅仅只是极⼩的⼀部分,对各种利⽤原理的深度理解和⼆次定制能⼒ 才是你的核⼼ ⽇常流程简要说明 ⼊⼝权限 => 内⽹搜集/探测 => 免杀提权[⾮必须] => 抓取登录凭证 => 跨平台横向 => ⼊⼝维持 => 数据回 传 => 定期权限维护 0x01 ⼊⼝权限获取 [前期侦察，搜集阶段本身就不存在太多可防御的点，⾮防 御重⼼] 绕CDN找出⽬标所有真实ip段 找⽬标的各种Web管理后台登录⼝ 其它更多 待补充修 其它更多 , 待补充修正... 0x02 ⼊⼝权限获取 [外部防御重⼼ ( "重中之重") ] 此阶段,主要是针对各主流 "中间件 + 开源程序 + Web服务组件" ⾃身的各种已知Nday漏洞利⽤ 如下已按 "实际攻击利⽤的难易程度" 及 "获取到的shell权限⾼低" 为标准进⾏了详细排序,由于完全以实战利⽤ 为导向 故,仅仅只挑选了⼀些相对会经常遇到的

方案局限性大，安全性风险高 无法支持敏捷交付模式；手工维护成本 高，阻碍业务交付效率 面向多服务并行部署，安全发布， 0 维护负担 支撑云原生构建 / 运行环境，多云异构支持及企业 级登录权限支持 传统运维管理类平台 蓝鲸 Rainbond KubeSphere KubeVela 面向资源管理的运维工具集 面向开发者，需结合 CI/CD 工具额外搭建 全流程能力 专门面向开发者的生产力平台，涵盖全流程需求到 基础版注重工程师体验，专家版保障稳定可靠高效发布；企业版安全发布、数据运营及企业扩展定制 3 Zadig 平台工程模式及 应用场景、架构解析 开发者自服务 • 通过自服务的方式来加快发布速 度，无需与运维持续沟通 降低个人心智负担 • 通过平台工程，将底层的复杂性 抽象化，降低个人心智负担，提 高开发效率 可重用降低运维成本 • 一些组织可能过度依赖高级工程 师管理发布流程和基础设施，导 测试同时验证多个分支，集成合并冲突不断，自 动化测试遥遥无期，测试全靠人工验证 运维无脑排障、重启、删节点，沦为工具人…… “ “ ” ” 一系列问题（来自社区的声音）： 1. 业务边界清晰 2. 权限得到控制 3. 环境公开透明 4. 更新过程可追溯 Zadig — 托管项目方案 演示 -> 环境治理场景：数千开发者、 5 条业务线、多分支多环境协作 IoT 端云混合场景：打通云和端混合部署，实现一致性交付流程

运行效率低，管理维护成本高 方案局限性大，安全性风险高 无法支持敏捷交付模式；手工维护成本高， 阻碍业务交付效率 面向多服务并行部署，安全发布，0 维护负担 支撑云原生构建/运行环境，多云异构支持及企业 级登录权限支持 传统运维管理类平台 蓝鲸 Rainbond KubeSphere KubeVela 面向资源管理的运维工具集 面向开发者，需结合 CI/CD 工具额外搭建 全流程能力 专门面向开发者的生产力平台，涵盖全流程需求到 基础版注重工程师体验，专家版保障稳定可靠高效发布；企业版安全发布、数据运营及企业扩展定制 Zadig 平台工程模式及 应用场景、架构解析 开发者自服务 • 通过自服务的方式来加快发布速 度，无需与运维持续沟通 降低个人心智负担 • 通过平台工程，将底层的复杂性 抽象化，降低个人心智负担，提 高开发效率 可重用降低运维成本 • 一些组织可能过度依赖高级工程 师管理发布流程和基础设施，导 测试同时验证多个分支，集成合并冲突不断，自 动化测试遥遥无期，测试全靠人工验证 运维无脑排障、重启、删节点，沦为工具人…… “ “ ” ” 一系列问题（来自社区的声音）： 1. 业务边界清晰 2. 权限得到控制 3. 环境公开透明 4. 更新过程可追溯 Zadig — 托管项目方案 演示-> 环境治理场景：数千开发者、5 条业务线、多分支多环境协作 IoT 端云混合场景：打通云和端混合部署，实现一致性交付流程

是无效的。root 帐户应 该仅用来进行系统管理，而且使用时间应该尽可能短。 您所创建的任何密码都应该包含至少 6 个字符，同时包含大小写字母，并且最好带有标点符号等特殊 字符。因为超级用户具有最高权限，因此在您设置 root 密码时尤其需要小心。请避免采用能够在字典中 查到的单词或者很容易猜测的个人信息。 如果他人向您索取您的 root 密码，也需要特别谨慎。除非您所管理的系统有多位管理员，否则通常 root 帐户登录或者将其作为个人帐号使用。 为什么呢？避免使用 root 特权帐户的一个原因是，它很容易对系统造成无法挽回的破坏。另一个原 因是，您有可能被恶意诱使运行特洛伊木马程序—这是一种利用超级用户权限在您未知的情况下损害系 25 CHAPTER 6. 使用 DEBIAN 安装程序 6.3. 使用单独的组件 统安全的程序。任何合格的 Unix 系统管理书籍中都会涉及到这一主题—如果您不是很了解这方面的内 来管理。如果您维护着应用程序的多个版本，请阅读 update-alternatives 的 man 手册。 40 CHAPTER 8. 下一步该干什么 8.3. 更多信息 8.2.4 定时任务管理 任何系统管理员权限内的任务都必须位于 /etc 内，这是因为它们都是配置文件。如果您有一些 需要以管理员身份每天 (daily)、每周 (weekly) 或每月 (monthly) 运行的定时任务，请将它们放置在 /etc/cron

是无效的。root 帐户应 该仅用来进行系统管理，而且使用时间应该尽可能短。 您所创建的任何密码都应该包含至少 6 个字符，同时包含大小写字母，并且最好带有标点符号等特殊 字符。因为超级用户具有最高权限，因此在您设置 root 密码时尤其需要小心。请避免采用能够在字典中 查到的单词或者很容易猜测的个人信息。 如果他人向您索取您的 root 密码，也需要特别谨慎。除非您所管理的系统有多位管理员，否则通常 root 帐户登录或者将其作为个人帐号使用。 为什么呢？避免使用 root 特权帐户的一个原因是，它很容易对系统造成无法挽回的破坏。另一个原 因是，您有可能被恶意诱使运行特洛伊木马程序—这是一种利用超级用户权限在您未知的情况下损害系 32 CHAPTER 6. 使用 DEBIAN 安装程序 6.3. 使用单独的组件 统安全的程序。任何合格的 Unix 系统管理书籍中都会涉及到这一主题—如果您不是很了解这方面的内 来管理。如果您维护着应用程序的多个版本，请阅读 update-alternatives 的 man 手册。 49 CHAPTER 8. 下一步该干什么 8.3. 更多信息 8.2.4 定时任务管理 任何系统管理员权限内的任务都必须位于 /etc 内，这是因为它们都是配置文件。如果您有一些 需要以管理员身份每天 (daily)、每周 (weekly) 或每月 (monthly) 运行的定时任务，请将它们放置在 /etc/cron

是无效的。root 帐户应 该仅用来进行系统管理，而且使用时间应该尽可能短。 您所创建的任何密码都应该包含至少 6 个字符，同时包含大小写字母，并且最好带有标点符号等特殊 字符。因为超级用户具有最高权限，因此在您设置 root 密码时尤其需要小心。请避免采用能够在字典中 查到的单词或者很容易猜测的个人信息。 如果他人向您索取您的 root 密码，也需要特别谨慎。除非您所管理的系统有多位管理员，否则通常 root 帐户登录或者将其作为个人帐号使用。 为什么呢？避免使用 root 特权帐户的一个原因是，它很容易对系统造成无法挽回的破坏。另一个原 因是，您有可能被恶意诱使运行特洛伊木马程序—这是一种利用超级用户权限在您未知的情况下损害系 统安全的程序。任何合格的 Unix 系统管理书籍中都会涉及到这一主题—如果您不是很了解这方面的内 容，建议找一本进行学习。 您首先会被要求输入用户的全名。然后要求输入用户帐号名；通常您的名字或者类似的便满足要求， 来管理。如果您维护着应用程序的多个版本，请阅读 update-alternatives 的 man 手册。 45 CHAPTER 8. 下一步该干什么 8.3. 更多信息 8.2.4 定时任务管理 任何系统管理员权限内的任务都必须位于 /etc 内，这是因为它们都是配置文件。如果您有一些 需要以管理员身份每天 (daily)、每周 (weekly) 或每月 (monthly) 运行的定时任务，请将它们放置在 /etc/cron

是无效的。root 帐户应 该仅用来进行系统管理，而且使用时间应该尽可能短。 您所创建的任何密码都应该包含至少 6 个字符，同时包含大小写字母，并且最好带有标点符号等特殊 字符。因为超级用户具有最高权限，因此在您设置 root 密码时尤其需要小心。请避免采用能够在字典中 查到的单词或者很容易猜测的个人信息。 如果他人向您索取您的 root 密码，也需要特别谨慎。除非您所管理的系统有多位管理员，否则通常 root 帐户登录或者将其作为个人帐号使用。 为什么呢？避免使用 root 特权帐户的一个原因是，它很容易对系统造成无法挽回的破坏。另一个原 因是，您有可能被恶意诱使运行特洛伊木马程序—这是一种利用超级用户权限在您未知的情况下损害系 统安全的程序。任何合格的 Unix 系统管理书籍中都会涉及到这一主题—如果您不是很了解这方面的内 容，建议找一本进行学习。 您首先会被要求输入用户的全名。然后要求输入用户帐号名；通常您的名字或者类似的便满足要求， 来管理。如果您维护着应用程序的多个版本，请阅读 update-alternatives 的 man 手册。 48 CHAPTER 8. 下一步该干什么 8.3. 更多信息 8.2.4 定时任务管理 任何系统管理员权限内的任务都必须位于 /etc 内，这是因为它们都是配置文件。如果您有一些 需要以管理员身份每天 (daily)、每周 (weekly) 或每月 (monthly) 运行的定时任务，请将它们放置在 /etc/cron

是无效的。root 帐户应 该仅用来进行系统管理，而且使用时间应该尽可能短。 您所创建的任何密码都应该包含至少 6 个字符，同时包含大小写字母，并且最好带有标点符号等特殊 字符。因为超级用户具有最高权限，因此在您设置 root 密码时尤其需要小心。请避免采用能够在字典中 查到的单词或者很容易猜测的个人信息。 如果他人向您索取您的 root 密码，也需要特别谨慎。除非您所管理的系统有多位管理员，否则通常 root 帐户登录或者将其作为个人帐号使用。 为什么呢？避免使用 root 特权帐户的一个原因是，它很容易对系统造成无法挽回的破坏。另一个原 因是，您有可能被恶意诱使运行特洛伊木马程序—这是一种利用超级用户权限在您未知的情况下损害系 统安全的程序。任何合格的 Unix 系统管理书籍中都会涉及到这一主题—如果您不是很了解这方面的内 容，建议找一本进行学习。 您首先会被要求输入用户的全名。然后要求输入用户帐号名；通常您的名字或者类似的便满足要求， 来管理。如果您维护着应用程序的多个版本，请阅读 update-alternatives 的 man 手册。 45 CHAPTER 8. 下一步该干什么 8.3. 更多信息 8.2.4 定时任务管理 任何系统管理员权限内的任务都必须位于 /etc 内，这是因为它们都是配置文件。如果您有一些 需要以管理员身份每天 (daily)、每周 (weekly) 或每月 (monthly) 运行的定时任务，请将它们放置在 /etc/cron

是无效的。root 帐户应 该仅用来进行系统管理，而且使用时间应该尽可能短。 您所创建的任何密码都应该包含至少 6 个字符，同时包含大小写字母，并且最好带有标点符号等特殊 字符。因为超级用户具有最高权限，因此在您设置 root 密码时尤其需要小心。请避免采用能够在字典中 查到的单词或者很容易猜测的个人信息。 如果他人向您索取您的 root 密码，也需要特别谨慎。除非您所管理的系统有多位管理员，否则通常 root 帐户登录或者将其作为个人帐号使用。 为什么呢？避免使用 root 特权帐户的一个原因是，它很容易对系统造成无法挽回的破坏。另一个原 因是，您有可能被恶意诱使运行特洛伊木马程序—这是一种利用超级用户权限在您未知的情况下损害系 统安全的程序。任何合格的 Unix 系统管理书籍中都会涉及到这一主题—如果您不是很了解这方面的内 容，建议找一本进行学习。 您首先会被要求输入用户的全名。然后要求输入用户帐号名；通常您的名字或者类似的便满足要求， 来管理。如果您维护着应用程序的多个版本，请阅读 update-alternatives 的 man 手册。 48 CHAPTER 8. 下一步该干什么 8.3. 更多信息 8.2.4 定时任务管理 任何系统管理员权限内的任务都必须位于 /etc 内，这是因为它们都是配置文件。如果您有一些 需要以管理员身份每天 (daily)、每周 (weekly) 或每月 (monthly) 运行的定时任务，请将它们放置在 /etc/cron