Если вы недавно обновили свою систему RedHat или CentOS 7.6, вы можете внезапно начать получать ошибки «Отказано в доступе» при попытке подключить общие ресурсы SMB через CIFS. Типичные сообщения об ошибках в системном журнале выглядят следующим образом:
Я нашел решение в сообщении, опубликованном пару лет назад на форуме askubuntu на StackExchange. Похоже, что одно из недавних обновлений CentOS/RedHat изменило поведение по умолчанию в способе аутентификации mount.cifs для общих ресурсов SMB. При аутентификации локального пользователя теперь необходимо указать хост в качестве домена. Я сделал это, добавив одну строку в файл учетных данных, на который есть ссылка из /etc/fstab, как показано ниже:
Я не знаю, почему эта проблема возникла сейчас; похоже, это должно было произойти несколько месяцев назад, когда мы обновили cifs-utils до последней версии. Я также не уверен, возникнет ли эта проблема, если вы попытаетесь пройти аутентификацию в качестве пользователя домена. Дайте мне знать в комментариях!
| Точность | Точечная проверка |
Содержание
Astra Linux Common Edition [править]
- Используйте усиленное ядро.
- Включить блокировку консоли.
- Включить блокировки интерпретатора.
- Включить брандмауэр ufw.
- Включить системные ограничения.
- Отключить возможность ptrace.
- Отключить установку бита неисполнения.
- Включить ввод пароля для sudo.
- Системные часы настроены на местное время.
- Включить сеанс автоматического входа в X.
- Отключить автоматическую настройку сети.
- Установите 32-разрядный загрузчик.
Astra Linux Special Edition [ редактировать ]
- Включить проверку подписи ELF.
- Отключить установку бита неисполнения.
- Используйте усиленное ядро.
- Отключить отображение меню загрузчика.
- Включить очистку подкачки.
- Включить освобождение областей при очистке EXT-разделов.
- Включить блокировку консоли.
- Включить блокировки интерпретатора.
- Включить брандмауэр ufw.
- Включить системные ограничения.
- Отключить возможность ptrace.
- Отключить автоматическую настройку сети.
- Установите 32-разрядный загрузчик.
Разница [ изменить ]
- Astra Common Edition: ничего особенного
- Astra Special Edition: ничего особенного
пересобирает все исходные пакеты Debian, изменяет некоторые исходные пакеты и добавляет новые пакеты
Все пакеты? Нет, такие пакеты, как magic-wormhole, установить нельзя.
Для чего перекомпилировать? Не нашел ссылки, если перекомпилирован для какой цели.
Кажется, разницы нет.
Специальное издание Astra Linux.
Только специальное издание.
Кажется, все двоичные файлы подписаны. Сделал тест. Скопировано /bin/nano в /bin/nano-test . Пытался выполнить нано-тест. Успех. Затем отредактировал текстовую строку внутри /bin/nano-test. Попробовал выполнить еще раз. Ошибка сегментации.
Еще один тест. Установите крокодил.
Установка прошла успешно. Пытаюсь выполнить.
Журнал журнала Systemd показывает ошибку DIGSIG.
Можно попробовать подписать.
Но запрашивает пароль, которого я не знаю.
Можно отключить в /etc/digsig/digsig_initramfs.conf, установив DIGSIG_ELF_MODE=0 .
Количество пакетов [ изменить ]
Говорят, что Astra Linux Common Edition основана на Debian Stretch, но его репозиторий, похоже, содержит меньше пакетов, чем репозиторий Debian Stretch.
Найдены некоторые пакеты:
Некоторые пакеты отсутствуют:
Репозиторий APT Astra Linux Common Edition с репозиторием APT Debian [ редактировать ]
Возможно. Протестируйте установленный пакет tor.
Смешайте Astra Linux Special Edition с репозиторием APT Astra Linux Common Edition [ редактировать ]
- с включенной проверкой подписи ELF. в программе установки Astra Linux Special Edition: Нет.
- в противном случае: Да.
noexec [ изменить ]
Специальное издание Astra:
Отказано в доступе. Использование какой-то программы noexec в домашних условиях.
Но вы все равно можете использовать.
chmod: изменение разрешений '/tmp/a': операция не разрешена
учетная запись root [ изменить ]
Заблокировано по умолчанию.
параметр загрузки в режиме восстановления [ изменить ]
Не работает по умолчанию из-за заблокированной учетной записи root.
подсчитать [ изменить ]
Блокирует учетные записи пользователей после 7 неправильных попыток ввода пароля, аналогично безопасности-разное от Kicksecure.
параметры монтирования [ изменить ]
ядро checksec [ редактировать ]
Astra Linux Special Edition [ редактировать ]
Kicksecure™ / Whonix [править]
Содержит несколько ложных срабатываний. Документировано ниже.
/загрузка [ изменить ]
cat /proc/cmdline [ изменить ]
dpkg -l | grep astra- [править ]
dpkg -l | grep смоленск- [править ]
dpkg -l | grep fly- [править]
Пакеты [ изменить ]
астра-экстра [ изменить ]
Описание: Конфигурация Astra linux
apt-file list astra-extra
astra-safepolicy [ изменить ]
Описание: Средство проверки глобальной политики безопасности
астра-версия [ изменить ]
Описание: Обновление версии Astra
модули linux-astra [ изменить ]
Описание: Несвободные модули ядра Astra Linux
linux-astra-modules-generic [править]
Описание: Несвободные модули ядра Astra Linux
linux-astra-modules-4.15.3-1-generic [править]
astra-nochmodx-module-4.15.3-1-hardened [ изменить ]
astra-nochmodx-module-common [ редактировать ]
apt-cache показать astra-nochmodx-module-common
парсек [ изменить ]
smolensk-security [ редактировать ]
ksysguard-mac [ изменить ]
kcm-grub2 [править]
нажать [ изменить ]
tasksel --list-tasks [ изменить ]
Файлы [ изменить ]
- /usr/lib/modules-load.d
- /etc/apt/sources.list.d
- /etc/apt/preferences.d
стандартная + доверительная настройка компакт-диска
модули ядра [ изменить ]
grep /lib/modules [править]
парсек [ изменить ]
parsec-cifs [ изменить ]
digsig_verif [ изменить ]
lsmod [править]
systemctl list-units [ изменить ]
Обязательный MAC-адрес управления доступом [ изменить ]
AppArmor [ изменить ]
Очевидно, AppArmor не установлен.
SELinux [править]
SELinux явно не установлен.
Шлепнуть [ изменить ]
Видимо, Smack не установлен.
томойо [ изменить ]
Видимо, Tomoyo не установлен.
пожарная тюрьма [ изменить ]
пузырчатая пленка [ изменить ]
Установлен ли другой MAC-адрес обязательного контроля доступа? [править]
sudoers [ изменить ]
Он редактирует /etc/sudoers вместо добавления фрагментов в /etc/sudoers.d для включения sudo без пароля. Это не следование практикам. Когда пакет sudo обновляется, а /etc/sudoers изменяется восходящим потоком, он отображает диалоговое окно интерактивного разрешения конфликтов dpkg. И даже если Astra Linux разветвит пакет и предотвратит это, это приведет к тому, что они будут нести нагрузку по обслуживанию этого diff.
sudo apt установить python-pip
sudo pip install magic-wormhole
червоточина отправить /path/to/filename
Неизвестно. Пытаюсь угадать. Глядя на cat /var/lib/dpkg/status | grep @rusbitech | sort --unique показывает 20 разных полных имен.
- Как я могу подписать двоичные файлы ELF?
- Можно ли обновить Astra Special Edition через онлайн-репозиторий APT?
Незавершенное: эта вики находится в стадии разработки. Пожалуйста, не сообщайте о неработающих ссылках, пока это уведомление не будет удалено, используйте поисковые системы в первую очередь и внесите свой вклад в улучшение этой вики.
Хотите стать автором новостного блога Kicksecure™ или написать об анонимности, конфиденциальности и безопасности? Пожалуйста, свяжитесь с нами!
Kicksecure™ | © ENCRYPTED SUPPORT LP | Программное обеспечение Freedom / Открытый исходный код (почему?)
Личные мнения модераторов или участников проекта Kicksecure™ не отражают проект в целом.
Используя наш веб-сайт, вы подтверждаете, что прочитали, поняли и согласились с нашей Политикой конфиденциальности, Политикой использования файлов cookie, Условиями обслуживания и Согласием на использование электронной подписи.
Наконец после нескольких изменений мне удалось запустить nsjail на mips.
В процессе связывания было много предупреждений, но оно было скомпилировано!
Я попытался исправить это, удалив relro и другие флаги из LDFLAGS, но не смог решить эту проблему.
К сожалению, в конце концов я получил ту же ошибку, что и на raspberry pi (ARM): операция не разрешена.
Я использовал последний код из репозиториев lede, kafel и nsjail (26 октября) и задокументировал процедуру компиляции и выполнения результата на qemu здесь
Текст был успешно обновлен, но возникли следующие ошибки:
прокомментировал robertswecki 26 октября 2017 г.
Кроме того, насколько я помню, он не будет монтироваться, если что-то смонтировано поверх вашего /proc. Например. некоторые люди садятся
поверх /proc/kcore
или подобное, чтобы сделать содержимое некоторых файлов в /proc недоступным. Возможно, это та же проблема.
прокомментировал ebadi 27 октября 2017 г.
Я также установил следующие флаги, но это ничего не изменило.
Кроме того, я попробовал --disable_proc
прокомментировал robertswecki 31 октября 2017 г.
Честно говоря, понятия не имею, почему здесь не работает даже pivot_root :(. Думаю, единственной идеей здесь является чтение исходников ядра и попытка что-то понять.
прокомментировал ebadi 7 ноября 2017 г. •
Сегодня я несколько раз компилировал lede на ARM с разными флагами, но я думаю, что проблема не в архитектуре и не в флагах ядра. Я убежден, что проблема каким-то образом кроется в структуре файловой системы, в том, как файловые системы монтируются, и в том, как nsjail обрабатывает различные ситуации.
загрузка со встроенной initramfs:
результат: mountInitNsInternal():373 pivot_root('/tmp/nsjail.root', '/tmp/nsjail.root'): неверный аргумент
Загрузка с отдельной rootfs:
результат: mountRemountRO():248 mount('/', flags:MS_RDONLY|MS_REMOUNT|MS_NOATIME|0): операция не разрешена
прокомментировал robertswecki 7 ноября 2017 г.
Спасибо за проверку, это все еще загадочно, хотя я попробую скачать этот образ/ядро и протестировать его. А пока не могли бы вы пройти следующие тесты.
<р>1). в mountRemountRO изменить unsigned long new_flags = MS_REMOUNT | MS_RDONLY | MS_BIND -> unsigned long new_flags = MS_REMOUNT | MS_REC | MS_RDONLY | MS_BIND
2). Я думаю, что block_validity, delalloc, barrier, user_xattr, acl — это параметры, как в 5-м аргументе системного вызова mount. Может быть, их нужно повторить для перемонтирования? Например, внутри mountRemountRO изменение 5-го аргумента mount() на эту строку block_validity,delalloc,barrier,user_xattr,acl вместо текущего 0/NULL, если точка монтирования /
прокомментировал ebadi 8 ноября 2017 г. •
unsigned long new_flags = MS_REMOUNT | MS_RDONLY | vfs.f_flag;
Я пробовал все это:
Я также изменил пятый аргумент системного вызова mount, как вы предложили, как для mountMount, так и для `mountRemountRO', но ничего не изменил!
прокомментировал robertswecki 8 ноября 2017 г.
Используете ли вы новейшую версию nsjail. Недавно я изменил логику RemountRO. Предыдущее добавление vfs.f_flag было неверным, так как vfs.f_flag содержит некоторые флаги, которых нет в качестве флагов для mount().
ebadi прокомментировал 8 ноября 2017 г.
С недавними изменениями nsjail кажется, что дело идет дальше, но .
прокомментировал robertswecki 8 ноября 2017 г.
Спасибо за исправления. Я объединил и немного подправил.
Вы можете попробовать с --disable_proc, если это сработает, тогда proc будет последней вещью, которую нужно исправлять.
прокомментировал robertswecki 8 ноября 2017 г.
Если, конечно, вы можете попытаться добавить некоторые флаги в "proc" (например, в cmdline.c, где proc добавлен в список монтирования)
например,
прокомментировал robertswecki 8 ноября 2017 г.
Хм... MS_BIND не сработает, но, возможно, MS_REC сработает.
Кроме того, в выводах вашей команды mount есть
это может быть причиной сбоя mount/proc. Но насколько я могу судить, вы сейчас тестируете с LEDE, а не с Raspberry Pi?
прокомментировал ebadi 9 ноября 2017 г.
nsjail без проблем работает на Rasbian(arm) на raspberrypi. Поэтому я не думаю, что проблема в /proc/sys/fs/binfmt_misc.
Да; --disable_proc заставляет nsjail работать как с ARM, так и с MIPS, если он загружается с отдельной rootfs: (без initramfs).
У него все еще есть проблема с initramfs, но вы можете закрыть ее.
javascript от BlueMoon, 30 августа 2021 г. Комментарий
javascript от BlueMoon, 30 августа 2021 г. Комментарий
независимо от Restu Wahyu Saputra, 21 марта 2021 г. Пожертвовать комментарий
Любые ответы, связанные с «Ошибка: EACCES: разрешение отклонено, mkdir»
- ошибка: eaccess: разрешение запрещено ionic
- послушайте EACCES: разрешение запрещено 3000S
- NoPermissions (FileSystemError): ошибка: EACCES: разрешение отклонено, откройте «/var/www/html/index.html»
- Ошибка: не удалось открыть: EACCES (отказано в доступе) реагирует на исходный код
- npm ОШИБКА! Ошибка: EACCES: разрешение отклонено, символическая ссылка '../lib/node_modules/@angular/cli/bin/ng' -> '/usr/bin/ng'
- Ошибка: EACCES: разрешение отклонено, mkdir '/Users/f5238390/Sites/pyramid-ui/node_modules/node-sass/build
- npm EACCES: доступ запрещен, доступ к '/usr/local/lib'
- доступ к каталогу linux запрещен
- отказано в доступе
- Ошибка: прослушайте EACCES: разрешение отклонено 0.0.0.0:3000
- разрешение на выполнение Linux отклонено
- Ошибка: EACCES: доступ запрещен, доступ к '/usr/local/lib/node_modules'
- Ошибка vscode: EACCES: разрешение отклонено
- разрешение rm отклонено
- ошибка eacces, в разрешении отказано mkdir xampp ubuntu
- Ошибка node-gyp: EACCES: разрешение отклонено
- Открыть не удалось: EACCES (отказано в доступе) реагирует на исходный код
- EACCES: доступ запрещен, доступ
- Отказано в разрешении mkdir php
- из-за ошибки в доступе отказано
- Ошибка: EACCES: разрешение отклонено, mkdtemp linux ubuntu
- отказано в доступе при удалении элемента
- Произошло необработанное исключение: прослушивание EACCES: разрешение отклонено 127.0.0.1:4200
Любые запросы, связанные с «Ошибка: EACCES: разрешение отклонено, mkdir»
Зарегистрируйтесь, чтобы голосовать и добавлять примеры кода. Присоединяйтесь к нашему сообществу разработчиков, чтобы улучшить свои навыки разработки и программировать как босс!
Помогите нам улучшить наши примеры кода, зарегистрировавшись, чтобы проголосовать и добавить ответы. Присоединяйтесь к нашему сообществу разработчиков, чтобы улучшить свои навыки разработки и программировать как босс!
Продолжая, я подтверждаю, что прочитал и согласен с Условиями использования и Политикой конфиденциальности Greppers.
Читайте также:
