52

我们可以通过当前进程的uid来测试一个目录是否可写:

if [ -w $directory ] ; then echo 'Eureka!' ; fi

但是任何人都可以建议一种方法来测试一个目录是否可以被其他uid写入?

我的场景是我正在管理一个 MySQL 服务器实例,并且我想临时更改慢查询日志文件的位置。我可以通过执行 MySQL 命令SET GLOBAL slow_query_log_file='$new_log_filename'然后禁用和启用查询日志记录以mysqld开始使用该文件来做到这一点。

但我希望我的脚本检查mysqld进程的 uid 是否有权创建新的日志文件。所以我想做一些类似(伪代码)的事情:

$ if [ -w-as-mysql-uid `basename $new_log_filename` ] ; then echo 'Eureka!' ; fi

但当然,这是一个虚构的测试谓词。

澄清: 我想要一个不依赖的解决方案,su因为我不能假设我的脚本的用户具有 su 特权。

4

8 回答 8

31

这是一个漫长而迂回的检查方式。

USER=johndoe
DIR=/path/to/somewhere

# Use -L to get information about the target of a symlink,
# not the link itself, as pointed out in the comments
INFO=( $(stat -L -c "%a %G %U" "$DIR") )
PERM=${INFO[0]}
GROUP=${INFO[1]}
OWNER=${INFO[2]}

ACCESS=no
if (( ($PERM & 0002) != 0 )); then
    # Everyone has write access
    ACCESS=yes
elif (( ($PERM & 0020) != 0 )); then
    # Some group has write access.
    # Is user in that group?
    gs=( $(groups $USER) )
    for g in "${gs[@]}"; do
        if [[ $GROUP == $g ]]; then
            ACCESS=yes
            break
        fi
    done
elif (( ($PERM & 0200) != 0 )); then
    # The owner has write access.
    # Does the user own the file?
    [[ $USER == $OWNER ]] && ACCESS=yes
fi
于 2012-12-31T17:42:14.780 回答
10

那可以做测试:

if read -a dirVals < <(stat -Lc "%U %G %A" $directory) && (
    ( [ "$dirVals" == "$wantedUser" ] && [ "${dirVals[2]:2:1}" == "w" ] ) ||
    ( [ "${dirVals[2]:8:1}" == "w" ] ) ||
    ( [ "${dirVals[2]:5:1}" == "w" ] && (
        gMember=($(groups $wantedUser)) &&
        [[ "${gMember[*]:2}" =~ ^(.* |)${dirVals[1]}( .*|)$ ]]
    ) ) )
  then
    echo 'Happy new year!!!'
  fi

说明:

只有一个测试(如果),没有循环也没有 fork

+注意:正如我使用stat -Lc 的那样stat -c,这也适用于符号链接!

所以条件是 如果

  • 我可以成功读取的统计信息$directory并将它们分配给dirVals,
  • (
    • (所有者匹配标志 UserWriteable 存在)
    • 标记存在其他可写内容
    • ( 标志 GroupWriteabe 存在 并且
      • 我可以成功地将成员列表$wantedUser分配给gMember AND
      • 通过将字段 2 合并到 last of 构建的字符串$gMember将匹配beginOfSting-Or-something-followed-by-a-space,紧随其后的是目标的组 ( ${dirVals[1]}),紧随其后的是a-space-followed-by-something-Or-endOfString . )

然后回声新年快乐!

由于小组的测试意味着第二次分叉(而且我喜欢尽可能减少此类调用),因此这是最后一个要完成的测试。

简单地:

su - mysql -c "test -w '$directory'" && echo yes
yes

或者:

if su - mysql -s /bin/sh -c "test -w '$directory'" ; then 
    echo 'Eureka!'
  fi

注意:警告先用双引号括起来,因为已经$directory开发了!

于 2012-12-31T16:31:16.443 回答
8

您可以使用sudo在脚本中执行测试。例如:

sudo -u mysql -H sh -c "if [ -w $directory ] ; then echo 'Eureka' ; fi"

为此,执行脚本的用户sudo当然需要特权。

如果您明确需要 uid 而不是用户名,您还可以使用:

sudo -u \#42 -H sh -c "if [ -w $directory ] ; then echo 'Eureka' ; fi"

在这种情况下,42mysql用户的 uid。如果需要,替换您自己的值。

更新(以支持非 sudo 特权用户)
要获得一个 bash 脚本来更改用户而不sudu需要能够suid(“切换用户 id”)。正如这个答案所指出的,这是一个安全限制,需要破解才能解决。查看此博客以获取“如何”解决它的示例(我尚未测试/尝试过,因此无法确认它是否成功)。

如果可能的话,我的建议是用 C 语言编写一个允许 suid (try chmod 4755 file-name) 的脚本。然后,您可以setuid(#)从 C 脚本调用以设置当前用户的 id,并从 C 应用程序继续执行代码,或者让它执行一个单独的 bash 脚本来运行您需要/想要的任何命令。这也是一种非常老套的方法,但就非 sudo 替代方案而言,它可能是最简单的方法之一(在我看来)。

于 2012-12-31T16:31:34.480 回答
7

因为我必须对@chepner 的答案进行一些更改才能使其正常工作,所以我在此处发布我的临时脚本以便于复制和粘贴。这只是一个小的重构,我赞成 chepner 的回答。如果接受的答案通过这些修复更新,我将删除我的。我已经对该答案发表了评论,指出了我遇到的问题。

我想取消 Bashisms,所以这就是我根本不使用数组的原因。((算术评估仍然是 Bash 独有的))功能,所以我还是坚持使用 Bash。

for f; do
    set -- $(stat -Lc "0%a %G %U" "$f")
    (("$1" & 0002)) && continue
    if (("$1" & 0020)); then
        case " "$(groups "$USER")" " in *" "$2" "*) continue ;; esac
    elif (("$1" & 0200)); then
        [ "$3" = "$USER" ] && continue
    fi
    echo "$0: Wrong permissions" "$@" "$f" >&2
done

没有评论,这甚至相当紧凑。

于 2014-04-28T09:50:21.980 回答
3

一个有趣的可能性(但它不再是 bash)是使用 mysql 拥有的 suid 标志制作一个 C 程序。

步骤1。

创建这个美妙的 C 源文件,然后调用它caniwrite.c(抱歉,我一直不喜欢选择名称):

#define _GNU_SOURCE
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>

int main(int argc,char* argv[]) {
   int i;
   for(i=1;i<argc;++i) {
      if(eaccess(argv[i],W_OK)) {
         return EXIT_FAILURE;
      }
   }
   return EXIT_SUCCESS;
}

第2步。

编译:

gcc -Wall -ocaniwrite caniwrite.c

步骤 3。

将它移动到您喜欢的任何文件夹中,/usr/local/bin/这是一个不错的选择,更改它的所有权并设置 suid 标志:(以 root 身份执行此操作)

# mv -nv caniwrite /usr/local/bin
# chown mysql:mysql /usr/local/bin/caniwrite
# chmod +s /usr/local/bin/caniwrite

完毕!

只需将其称为:

if caniwrite folder1; then
    echo "folder1 is writable"
else
    echo "folder1 is not writable"
fi

事实上,您可以caniwrite使用任意数量的参数进行调用。如果所有目录(或文件)都是可写的,则返回码为真,否则返回码为假。

于 2012-12-31T17:47:17.667 回答
2

为什么不做一些简单的事情,比如在有问题的文件夹上尝试 mkdir。这样比较靠谱......

    mkdir your_directory/
    [[ $? -ne 0 ]] && echo "fatal" || echo "winner winner chicken dinner.."

或者 ?

    # -- run the following commands as the_User_ID
    sudo su - the_User_ID << BASH

    mkdir your_directory/
    [[ $? -ne 0 ]] && echo "fatal" || echo "winner winner chicken dinner.."

    BASH
于 2014-07-18T18:35:13.353 回答
2

我编写了一个函数,如果传递给它的用户是文件/目录的所有者,或者是对该文件/目录具有写访问权限的组的成员,can_user_write_to_file它将返回。1如果不是,则该方法返回0.

## Method which returns 1 if the user can write to the file or
## directory.
##
## $1 :: user name
## $2 :: file
function can_user_write_to_file() {
  if [[ $# -lt 2 || ! -r $2 ]]; then
    echo 0
    return
  fi

  local user_id=$(id -u ${1} 2>/dev/null)
  local file_owner_id=$(stat -c "%u" $2)
  if [[ ${user_id} == ${file_owner_id} ]]; then
    echo 1
    return
  fi

  local file_access=$(stat -c "%a" $2)
  local file_group_access=${file_access:1:1}
  local file_group_name=$(stat -c "%G" $2)
  local user_group_list=$(groups $1 2>/dev/null)

  if [ ${file_group_access} -ge 6 ]; then
    for el in ${user_group_list-nop}; do
      if [[ "${el}" == ${file_group_name} ]]; then
        echo 1
        return
      fi
    done
  fi

  echo 0
}

为了测试它,我写了一个小测试函数:

function test_can_user_write_to_file() {
  echo "The file is: $(ls -l $2)"
  echo "User is:" $(groups $1 2>/dev/null)
  echo "User" $1 "can write to" $2 ":" $(can_user_write_to_file $1 $2)
  echo ""
}

test_can_user_write_to_file root /etc/fstab
test_can_user_write_to_file invaliduser /etc/motd
test_can_user_write_to_file torstein /home/torstein/.xsession
test_can_user_write_to_file torstein /tmp/file-with-only-group-write-access

至少从这些测试来看,考虑到文件所有权和组写访问权限,该方法按预期工作:-)

于 2013-01-17T16:11:19.267 回答
2

alias wbyu='_(){ local -i FND=0; if [[ $# -eq 2 ]]; then for each in $(groups "$1" | awk "{\$1=\"\";\$2=\"\"; print \$0}"); do (($(find "${2}" \( -perm /220 -o -group "$each" -a -perm /g+w \) 2>/dev/null | wc -l))) && FND=1; done; else echo "Usage: wbyu <user> <file|dir>"; fi; (($FND)) && echo "Eureka!"; }; _'

我把它放到一个别名中,它有两个参数,第一个是用户,第二个是要检查的目录。它查找任何人都可写的权限,并循环遍历指定用户的组以检查目录是否在用户组中并且可写 - 如果有任何一个被命中,它会设置一个 found 标志并打印 Eureka!在最后。

爱荷华州:

FND=0
USER=user1
DIR=/tmp/test
for each in $(groups "$USER" | awk '{$1="";$2=""; print $0}'); do 
(($(find "$DIR" \( -perm /220 -o -group "$each" -a -perm /g+w \)\ 
   2>/dev/null | wc -l))) && FND=1 
done
(($FND)) && echo 'Eureka!'
于 2015-01-17T04:39:58.173 回答