CurveFs 用户权限系统调研（已实现）© XXX Page 2 of 33 一、Curvefs测试 1. 启动curvefs 问题1：root用户无法访问挂载目录 测试 allow_root 测试allow_other 参考文献 问题2：本地文件系统挂载默认是共享的？ 问题3：文件系统访问控制是在哪一层实现的？ 二、文件系统权限管理 文件类型 文件权限 特殊权限(SUID, SGID SGID, STICKY) 文件默认权限umask 用户&用户组 文件系统用户权限管理 对mode的管理 对ACL（Access Control Lists）的管理 ACL Access Entry保存在哪？ ACL的表示 内存中的ACL 是如何与具体的 Inode 相关联 如何存储和获取ACL信息 Inode权限校验 chmod、chown、setfacl、getfacl接口文件系统自己如何实现 cd: fsmount: Permission denied© XXX Page 4 of 33 查阅资料发现这是fuse的一种安全策略，默认是只有filesystem owner拥有该文件系统的访问权限，如果想要其他用户有权访问，需要在挂载参数中指定‘-o allow-root’ 或'-o allow-other'以允许相应用户有权访问该文件系统，如果挂载者不是root还需要在/etc/fuse.

.......................................................................................53 4 组织用户角色权限管理................................................................................................. .......................................................................................67 4.3.3 角色权限管理................................................................................................. 、 操作系统、云磁盘、网络、安全组、弹性 IP，负载均衡、RDS、对象存储、 DNS 等。 虚拟机 Virtual Machine，指通过软件模拟的具有完整硬件系统功能的、运行在一 个完全隔离环境中的完整计算机系统。在实体计算机中能够完成的工作在 虚拟机中都能够实现。 云磁盘 云硬盘（Elastic Volume Service）是一种为 ECS 等计算服务提供持久性 块存储的服

服务申请部署、变更 支持 公有云对象存储桶申请部署、变更 支持 查看各类资源申请订单审批进度、结果 支持 管理 多级组织管理 支持 用户管理（单账号多角色、LDAP 同步集成） 支持 角色权限管理 支持 分权分域管理(资源、人划分到各个组织、项目、个人范围管理) 支持 分级分组分类管理(按业务、按环境类型等，可自定义) 支持 归属关系管理（归属组织、项目、业务系统、人等） 支持 统管理员门户和组织管理员门户，分别 面向业务部门应用开发测试运维人员提供应用运行环境资源在线服务以及查找、操作管理， 面向 IT 管理员提供虚拟化、私有云、公有云资源纳管、自动同步、用户组织角色权限管理、 分权分域管理、生命周期管理、服务目录管理、逻辑资源池及网络分配管理、流程管理等。 如图 9 所示。 杭州飞致云信息科技有限公司 软件用起来才有价值，才有改进的机会 18 图 9: 资源投入成本费用使用量可视化，并持续分析优化、按需及自动 生成发送各类 IT 资源运营投入使用报告、优化建议报告。 针对存量资源，支持集中统一分级分组管理以及分权分域管理，给使用门户的各角色用 户创建账号以及隔离访问管理资源的资源管理工作空间，把账号和资源按需分配到相应的资 源管理工作空间; 批量自动化执行脚本自动化运维。 针对新资源供给服务，在后台创建管理发布虚拟机操作系统、中间件数据库等服务目录

化、轻量级容器、LibOS、可信执行环境（TEE）、异构部署等多种实现形态。不 同的形态有各自的特点： 1. 裸金属：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目前支持 UniProton/Zephyr/RT-Thread 和 openEuler Embedded Linux 混合部署。 系统架构图 南向生态 嵌入式弹性虚拟化底座 openEuler Embedded 可广泛应用于工业控制、机器人控制、电力控制、航空航天、汽车及医疗等领域。 应用场景 2. 分区虚拟化：基于 Jailhouse 实现工业级硬件分区虚拟化方案，性能和隔离性较好，但灵活性较差。目前支持 UniProton/ Zephyr/FreeRTOS 和 openEuler Embedded Linux 混合部署，也支持 openHarmony 和 openEuler 通过委派机制允许非特权用户创建和管理自己的 cgroup 层次结构。通过合理利用委派，系统管理员可以提供给用户或应用程 序必要的控制权限，提供更细粒度的资源管理，同时保持系统的稳定性和安全性。 4）更丰富的特性支持： 基于统一的文件树管理，支持 psi、页面缓存回写、跨多个资源的增强资源分配管理和隔离、统一核算不同类型的内存分配， MemoryQoS 等特性。 • Maple Tree 和 Per VMA

处理，增强资 源的局部性；当业务负载高时，突破 preferred cpus 范围限制，通过增加 CPU 核的供给提高业务的 QoS。 • CPU QoS 优先级负载均衡特性：在离线混部 CPU QoS 隔离增强，支持多核 CPU QoS 负载均衡，进一步降低离线业 务 QoS 干扰。 • SMT 驱离优先级反转特性：解决混部 SMT 驱离特性的优先级反转问题，减少离线任务对在线任务 QoS 的影响。 行的一系列技术的集合，包含了裸金属、嵌入式虚拟化、轻量级容器、LibOS、可信执行环境（TEE）、异构部署等多种实 现形态。不同的形态有各自的特点，例如裸金属可以得到最佳的性能、嵌入式虚拟化可以实现更好的隔离与保护、轻量级 容器则有更好的易用性与灵活性等等。 功能描述 维测 MICA ( 混合关键性部署框架 ) 应用领域 硬件 分布式软总线 欧 拉 生 态 + 鸿 蒙 生 态 • 裸金属：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目前 支持 UniProton/Zephyr/RT-Thread 和 openEuler 嵌入式 Linux 混合部署。 • 分区虚拟化：基于 Jailhouse 实现工业级硬件分区虚拟化方案，性能和隔离性较好，但灵活性较差。目前支持 FreeRTOS 和 openEuler 嵌入式 Linux

虚拟机、操作系统、云磁盘、网络、安全组、弹性 IP，负载均衡、 RDS、对象存储、DNS 等。 虚拟机 Virtual Machine，指通过软件模拟的具有完整硬件系统功能的、 运行在一个完全隔离环境中的完整计算机系统。在实体计算机中 能够完成的工作在虚拟机中都能够实现。 云磁盘 云硬盘（Elastic Volume Service）是一种为 ECS 等计算服务提 供持久性块存储的服务，通过数据冗余和缓存加速等多项技术， 盘做格式化、创建文件系统等操作，并对数据做持久化存储 安全组 安全组是一种虚拟防火墙，具备有状态的数据包过滤功能，用于 设置云服务器、负载均衡、云数据库等实例的网络访问控制，控 制实例级别的出入流量，是重要的网络安全隔离手段。可以通过 配置安全组规则，允许或禁止安全组内的实例的出流量和入流 量。 弹性 IP 是私有云、公有云中租户能够申请获取保留专用的公网 IP 地址。 在私有云、公有云中，如果指定给虚拟机分配公网 统一，并且比较混淆。我们简化一些，指公有云中的 RDS 等中 间件、数据库在线服务，以及容器云。 VLAN Virtual Local Area Network, 虚拟局域网, 是建立在物理网络基 础上的一种逻辑子网，用于隔离多个主机组之前的网络访问。物 理位置不同的多个主机如果划分属于同一个 VLAN，则这些主机 之间可以相互通信。物理位置相同的多个主机如果属于不同的 VLAN，则这些主机之间不能直接通信。VLAN

. . . . . . . . . . . . . . 7 1.2.3 文件系统权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.2.4 控制新建文件的权限：umask . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.2.5 一组用户的权限（组） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.2.6 时间戳 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.5 chmod(1) 命令文件权限的数字模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.6 umask 值举例

总 针对不同的渗透阶段,所可能会⽤到的⼀些技术都做了详尽梳理说明 (后⾯可能还会整理出对应的完整⼯具链,虽然那 不是最主要的) 由于红队不同于⼀般的渗透测试, 强调更多的是如何搞进去拿到相应机器权限 或者 实现某特定⽬的 ⽽不局限于你⼀定要在什么时间, ⽤什么技术 或者 必须通过什么途径去搞,相⽐传统渗透测试,红队则更趋于真实的 ⼊侵活动 这种场景其实对防御者的 实战对抗经验 和 技术深度 ⼯具的熟练掌握仅仅只是极⼩的⼀部分,对各种利⽤原理的深度理解和⼆次定制能⼒ 才是你的核⼼ ⽇常流程简要说明 ⼊⼝权限 => 内⽹搜集/探测 => 免杀提权[⾮必须] => 抓取登录凭证 => 跨平台横向 => ⼊⼝维持 => 数据回 传 => 定期权限维护 0x01 ⼊⼝权限获取 [前期侦察，搜集阶段本身就不存在太多可防御的点，⾮防 御重⼼] 绕CDN找出⽬标所有真实ip段 找⽬标的各种Web管理后台登录⼝ 其它更多 待补充修 其它更多 , 待补充修正... 0x02 ⼊⼝权限获取 [外部防御重⼼ ( "重中之重") ] 此阶段,主要是针对各主流 "中间件 + 开源程序 + Web服务组件" ⾃身的各种已知Nday漏洞利⽤ 如下已按 "实际攻击利⽤的难易程度" 及 "获取到的shell权限⾼低" 为标准进⾏了详细排序,由于完全以实战利⽤ 为导向 故,仅仅只挑选了⼀些相对会经常遇到的

架构节 构节点上的 点上的 GitOps 工作 工作负载 负载 2 第 1 章 在基础架构节点上运行 GITOPS CONTROL PLANE 工作负 载 对于两个主要目的，您可以使用基础架构节点隔离基础架构工作负载： 要防止与订阅数相关的计费成本 单独的维护和管理 您可以使用 OpenShift Container Platform 在基础架构节点上运行 GitOps control plane 创建的 control plane 工作负载，包括此命名空间中的默认 Argo CD 实例。 使用 GitOps control plane 工作负载，您可以通过在集群中创建多个隔离的 Argo CD 实例来安全地并声明 性地隔离基础架构工作负载，并完全控制 Argo CD 实例的功能。另外，您可以在多个开发人员命名空间 中以声明性方式管理这些 Argo CD 实例。通过使用污点，您可以确保只有基础架构组件在这些节点上运 spec 部分，并将其设置为 true。此 字段将 openshift-gitops 命名空间中的 control plane 工作负载移到基础架构节点： 4. 可选：在基础架构节点上应用污点并隔离工作负载，并防止其他工作负载调度到这些节点上。 5. 可选： 如果您将污点应用到节点，您可以在 GitOpsService CR 中添加容限： 要验证工作负载是否已调度到 Red Hat OpenShift

- Authentication Accounting Authorization Auditing 追溯的保障和事故 分析的依据 防⽌身份冒⽤和复⽤ ⼈员和资产的管理 防⽌内部误操作 和权限滥⽤ 等级保护推动堡垒机发展 1994 1999 2008 2016 2019 《中华⼈⺠共和国计算机信息系统安 全保护条例》国务院 147 号令发布， ⾸次提出信息系统要实⾏等级保护， 并且确定了等级保护的职责单位。 ⽂件上传 / 下载；实现 Web SFTP ⽂件管理； ⼯单管理（X-Pack） ⽀持对⽤户登录⾏为进⾏控制；⽀持资产授权⼯单申请；⽀持⼆级审批流程； 组织管理（X-Pack） 实现多租户管理与权限隔离；全局组织功能； 访问控制（X-Pack） ⽀持⽤户登录资产时访问控制，包括接受、拒绝和复核； 账号管理 Accounting 账号列表 ⽀持查看所有账号信息； 账号模版 针对⽤户名和 NFS DC 特⾊功能 内置多租户体系 管理员 组织 / 分公司 / ⼆级单位 组织 / 分公司 / ⼆级单位 组织 / 分公司 / ⼆级单位 组织管理员 组织管理员 组织管理员 权限管理 权限管理 权限管理 ⽤ 户 账 号 资 产 ⽤ 户 账 号 资 产 ⽤ 户 账 号 资 产 独⽴管理 独⽴审计 统⼀管理 统⼀审计 - 多租户使⽤管理模式 - 特⾊功能 软件