我应该首先说我认为自己是一个熟练的用户。但是今天我需要自动化它并被难住了。
假设我是 root,因此我能够遍历整个文件系统,但我不能运行"sudo"或"su"。
我有一个给定的用户和一个给定的路径。
如何通过 CLI 检查用户是否能够读取和/或写入路径?
我知道这听起来很容易,但请记住:
- 我们不是,也不能成为用户。
- 我们不能只依赖最终目录权限,因为路径上级的权限可能会阻止对最终目录的访问。
- 在这个继承组的时代,我们也不能仅仅依靠目录组权限。
我假设这不能通过任何命令完成,我需要首先收集所有用户组,然后遍历路径的整个层次结构,检查路径上的读取权限,然后读取和写入最终目录。不过,听起来非常昂贵。
给我贴上脚本大师的标签!
check_access() {
checked_file=$1
target_user=$2
result=PASS
groups=`id -G $target_user | sed -e 's| | -o -group |g' -e 's|^|\( -group |' -e 's|$| \)|'`
while [ $checked_file != / ]; do
find $checked_file -maxdepth 0
-type f (
( -user $target_user -perm 0400 )
-o ( $groups -perm 0040 )
-o -perm 0004
) -o -type d (
( -user $target_user -perm 0100 )
-o ( $groups -perm 0010 )
-o -perm 0001
) >/dev/null 2>&1 || result=FAIL
checked_file=`dirname $checked_file`
done
echo $result
}
最好的方法是通过用户自己进行验证:
if sudo su - $user_to_check -c "[[ -r $path_to_check ]]"
then echo "$user_to_check can read $path_to_check"
else echo "$user_to_check can not read $path_to_check"
fi
if sudo su - $user_to_check -c "[[ -w $path_to_check ]]"
then echo "$user_to_check can write $path_to_check"
else echo "$user_to_check can not write $path_to_check"
fi
我实际上无法提供完整的答案,我也无法在您自己的想法中添加任何实质性内容,除了:
我怀疑不存在检查有效访问权限的一般方法,仅仅是因为访问权限在很大程度上取决于底层文件系统。例如,检查访问权限在使用标准 Unix rwx标志的文件系统上的工作方式与支持 ACL 的文件系统(例如 XFS 或 NTFS(的工作方式完全不同。
可能有几个特定的命令行工具可以执行您想要对特定文件系统类型执行的操作。(类比:fsck 等工具,每种文件系统类型都可能存在mkfs。
特别是对于类 UNIX 操作系统,其中所有类型的文件系统都可以挂载在一个大的目录结构中,假设只有一个特定的权限机制可能会导致问题。
如果您为此问题构建自己的解决方案,请首先考虑这一事实,然后准确确定要支持的访问权限机制。(我不确定,但我可以想象Unix/POSIX规范规定了每个Unix应该支持的最小rwx访问权限标志。
ls -l <file-name or dir-name>
假设您要检查上传目录的权限。进入
ls -l uploads这将产生这样的结果
total 20
drwxrwxr-x 2 tomcat ec2-user 4096 Nov 5 04:21 deals
drwxrwxr-x 2 tomcat ec2-user 4096 Nov 5 04:25 gallery-images
drwxrwxr-x 3 tomcat ec2-user 4096 Nov 5 04:25 hotels
drwxrwxr-x 3 tomcat ec2-user 4096 Nov 5 04:28 rooms
drwxrwxr-x 3 tomcat ec2-user 4096 Nov 5 04:32 temp