我正在构build一个包含需要侦听端口443的Web服务的包。服务本身是用Go编写的,所以我不能使用authbind来pipe理端口权限。 相反,我select使用setcap: me@buildbox $ setcap CAP_NET_BIND_SERVICE=+eip opt/myservice/myservice me@buildbox $ getcap opt/myservice/myservice opt/myservice/myservice = cap_net_bind_service+eip 但是,当我在我的服务器上安装软件包时,此function不会被保留。 me@myserver $ apt-get install myservice … # installs normally … me@myserver $ getcap /opt/myservice/myservice me@myserver $ # ^ No output == no capabilities 我真的不希望这个服务以超级用户的身份运行,但是在安装软件包的时候遇到了麻烦。 我能以某种方式在debian软件包中设置function吗? 是否有另一种方法可以达到所需的最终结果(服务可以绑定到端口443,但不能以root身份运行)。
我们有一台运行Windows Server 2012 R2(不是任何域的成员)的计算机,以及运行在此服务器上的Web应用程序。 应用程序的用户被设置为服务器的本地Windows用户。 但用户从不login服务器本身,应用程序只是要求他们的用户名和密码,然后检查密码是否正确的服务器。 要求应用程序允许用户更改密码。 我尝试使用ADSI接口方法ChangePassword(oldPassword, newPassword)来做到这一点。 或者,ADSI方法SetPassword(newPassword) 。 但是我收到了错误消息“访问被拒绝”。 我认为,根据https://msdn.microsoft.com/en-us/library/ms180915(v=vs.90).aspx ,我需要添加ACE(AccessControlEntries)包含以下扩展权限的ACL(AccessControlList )执行通过Web访问的服务的用户: Reset Password和 Change Password 对于具有类似同名的方法。 这些在这里描述。 我发现的所有工具(“Active Directory用户和计算机”,“ADSI编辑”或“dsacls”)都可以让我读取这些工具,但在执行任何操作之前,都需要先连接到Active Directory。 而且我find的所有代码示例都需要一个Active Directory以便获取需要更改ACL的用户或组对象。 我的实验表明,我可以使该帐户成为Administrators组的成员,该组似乎具有SetPassword权限。 但是,这可能比所需要的要多得多,我只希望根据需要向帐户提供尽可能多的许可。 而且我仍然无法通过这种方式validation旧密码。 如果用户是本地用户而不是AD用户,是否没有办法简单地将ACE添加到用户帐户?
我正在使用PowerShell脚本来pipe理我们的文件服务器的权限。 一般来说,这工作得很好,但是有时候目录被重新命名。 这当然不会影响权限,但是脚本正在引用存储想要的权限的数据库。 当一个目录被重新命名时,分配的权限不能再与该目录相关联。 在这种情况下,能够基于不是基于目录名称的文件系统信息来识别目录将是很好的。 有没有办法做到这一点? 文件服务器正在运行Windows Server 2012,我们正在使用NTFS作为文件系统。
在我的Active Directory环境(DC运行Windows Server 2003 R2 SP2)中,有一个Windows Server 2008 R2 SP1客户端。 在此客户端上,有本地pipe理员帐户下正在运行的计划任务。 我想添加一个将在一个域帐户BackupUser下运行的任务。 BackupUser是域备份操作员组的成员。 任务计划程序无法添加具有错误2147943785的任务。这是一个权限问题,可以通过将作为批处理作业的login权指定给BackupUser来解决。 但是,通过组策略执行此操作将覆盖“Backup Operators,Administrators”的默认值。 这会导致在本地pipe理帐户下运行的任务停止工作。 无法通过组策略将作为批处理作业的权限分配给这些默认组,因为它们是内置的并且根本无法添加。 如何允许(通过组策略)域用户运行一个任务,而不会破坏在本地pipe理员下运行任务的能力? 我发现的唯一方法是将BackupUser添加到域pipe理员组(甚至不pipe理员!),而不是作为批处理作业login 。 但是这样做肯定是一种错误的做法。
尝试通过Exchange 2016中的Exchangepipe理中心更改用户/邮箱国家/地区时,我开始遇到问题。 当试图这样做,我得到这个错误: Active Directory operation failed on DC. This error is not retriable. Additional information: Insufficient access rights to perform the operation. Active Directory response: 00002098: SecErr: DSIS-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 其他有关这个错误的报告似乎没有适用于我们的解决scheme。 奇怪的是,如果我进入ADUC,并find相同的用户帐户,我可以轻松地使用相同的域名login(域pipe理员和企业pipe理员)来更改国家/地区。 有没有人有任何想法,为什么我可以直接通过AD而不是Exchange更改此属性? 编辑:也有这个职位TechNet论坛试图找出这个问题的原因: Technet的邮报
(使用一次性帐户明显的原因,如果这不是正确的地方,请让我知道) 你好系统pipe理员,我已经雇用一个小公司作为唯一的系统pipe理员。 公司目前与MSP合作处理所有的IT,他们希望将大部分工作都包含在内,这就是为什么他们聘用了我。 我应该接pipeActive Directory的职责。 我已经看了一下目前的设置,提出了一些改进,并说我需要一个专门的pipe理员帐户在域pipe理员组。 然后,我继续解释为什么我需要它,它将用于什么,以及如何实施审计,让pipe理层意识到我在做什么。 我还解释说,审计不是万无一失的,因为我是成立的,所以我也必须有必要的权限来closures它。 我想我试图让每个人都知道有限制,我毕竟是pipe理员…这就是为什么我被雇用。 Bossman明显担心,并问我是否也可以访问文件共享与一些机密的东西(工资单,人事档案,无论什么…)。 “我不明确,但作为pipe理员,我可以给自己必要的权限”,我解释说。 显然这是错误的事情要说。 Bossman说,我需要弄清楚一些过程,以确保任何pipe理任务得到经理的监督。 老实说,我觉得这个方法挺冒犯的。 我可以理解我是新人,他不认识我,但他聘请我来做这个工作,我毕竟是一个经验丰富的系统pipe理员,具有很好的参考价值! 现在,为了说清楚我的感受,我已经查看了可能的解决scheme,以审核我的域pipe理员帐户和一般的pipe理任务,或启用2FA,我一直没能find解决scheme 低廉 我不能禁用域pipe理员权限和物理访问服务器和 可以让我在紧急情况下工作,没有任何pipe理人员在周围/可用(他们经常同时出国旅行,不能通过电话/电子邮件)。 到目前为止,我已经看过Netwrix Auditor( https://www.netwrix.com/active_directory_auditing.html ),AD审核,ESET安全authentication( https://www.eset.com/us/business/endpoint-安全/双因素authentication )和2FA的智能卡。 没有符合上述标准。 有没有人有这样的环境中工作的经验? 我应该担心我的未来吗? 请注意,我不为政府/国防/安全承包商工作,目前没有法律要求我监督,公司除了雇员之外不处理PII。 任何input赞赏! 编辑:正如有人在workplace.stackexchange.com上指出,交叉张贴不鼓励,让我把上述作为一个技术性问题重新说明:有没有人知道符合上述标准的产品?
我一直在这里search,但我找不到类似的问题。 我在debian 7上设置了SSH和sftp服务器,问题是umask没有执行权限。 即使我改变了不同的值,执行权限也不会被应用。 这是我的configuration: Match Group sftp-users ChrootDirectory /sftp/%u AuthorizedKeysFile /sftp/%u/.ssh/authorized_keys X11Forwarding no AllowTcpForwarding no # AuthenticationMethods publickey ForceCommand internal-sftp -u 0002 例: -u 0002上传的file.txt应该获得775个权限,但获得664 -u 0222上传的file.txt应该得到555,但得到了444 -u 0666上传的file.txt应该得到111但是得到了000 你可以让我知道哪些文件应该检查或什么其他configuration你需要看到? 谢谢!
所以,在Apache和Ubuntu方面,我是一个新手,但我知道基本知识(文件移动,复制,编辑等)。 我试图用PHP的权限来解决一个问题,所以我使用chmod将/tmp/和/var/tmp/权限设置为777。 然后,我修改了/etc/php/和/etc/php5/两个php.ini文件,以定制临时目录。 但是,我结束了重新启动服务器,而实际上并没有创build临时目录(oops)。 现在我仍然可以通过SFTP连接到我的服务器,但是在Chrome中尝试连接时,它给了我一个ERR_CONNECTION_REFUSED 。 我以为这是一个.php页面的问题,所以我尝试加载一个.html页面。 没有。 我尝试了多次重新启动,但无济于事。 另外,我的整个文件系统是只读的。 所以我假设我搞砸了一些configuration和作为安全措施,一切都被locking。 我已经尝试sudo su ,重新安装驱动器(被阻止,因为我不能写入一些configuration文件),和一堆其他的东西。 在执行fsck时我也遇到错误: fsck.ext4: unable to resolve UUID: xxxxxxxx 。 同样,不能通过重新安装来自动修复任何错误,因为我不能写入某个configuration文件。 我尝试通过/var/log/系统日志,但是我找不到任何错误消息。 我相信这是一个PHPconfiguration的问题,但我不知道。 我也看着我的UFW,看到它被禁用。 当试图启用它,再次,它不会让我,因为我不能写入文件系统。 所有这一切都在sudo 。 帮助将不胜感激。 谢谢! 编辑:我设法find我的bash历史作为根,但没有什么似乎太奇怪: https : //pastebin.com/yPh5rSE6 编辑2:我记得的一件事是修改/var/tmp/权限时,该文件夹有一个粘性位; 我相信权限是drwxrwxrwt 。 正在改变这个服务器突破失误? 我不能改变这个,因为我作为只读文件系统挂载。 编辑3:所以这似乎是问题是权限,这导致启动时出现错误,并locking文件系统为只读,搞乱了Web服务器。 这听起来似乎有道理? 这个问题似乎根植于两个地方fsck和mount的UUID错误。 我如何解决这个问题?
我们正在为我们的Lonux服务器使用基于rsync的备份,这太棒了。 我们将我们的所有Linux服务器rsync同步到我们的大型Linux基础samba文件服务器上。 不幸的是,服务器完全过时并迁移到Active Directory。 现在我遇到了问题,从Linux服务器进行增量备份。 我特别喜欢rsync可以拷贝修改或删除的文件。 现在我想在Windows服务器上进行Linux备份。 我看了一下备份解决scheme,但几乎都是基于rsync的。 我寻找Windows的rsync(Cygwin或Microsofts SFU(服务于Unix))。 但似乎它不会做的伎俩。 为了正确地rsync所有者和权限,真正需要文件系统中的两个整数和一些标志。 虽然NTFS理论上规定,SFU和Cygwin确实试图将其映射到existng用户。 SFU的rsync似乎也是不可靠的 在我们当前的服务器上,我们不关心任何映射:如你所知,Linux服务器只是在文件系统中存储两个整数(在简单的情况下),没有像Windows这样的机器特定的长SID。 他们的意思是由/ etc / passwd定义的。 如果缺less,那只是整数。 但是,如果它回到服务器上,它再次工作。 有没有人find一个很好的解决scheme? 我甚至看了UMSDOS,Linux曾经可以存储在FAT16上! 它使用具有长文件名映射和unix权限和属性的文本文件。 不幸的是,它已经从内核中删除。 否则,我可以使用CIFS挂载和层上的umsdos在新的Windows文件服务器上挂载一个共享。 不幸的是,这样的东西不存在。 为什么我不想使用焦油? 因为我真的很喜欢我们的DPM服务器如何备份我们的Windows文件服务器,我不想完全备份一个完整的tar文件!
在Linux(Ubuntu)机器上,以普通用户身份运行的自动脚本正在其主目录下创build一个子目录。 出于某种原因,目录是使用Access: (0000/d———)创build的Access: (0000/d———) 。 umask是0022.这显然意味着脚本不能在该目录中创build任何文件。 任何人都可以想到什么? 显然,这只发生在非超级用户帐户。 更新:问题实际上是一个错误。 mkdir被称为来自C代码的系统命令,而不是命令行工具。 而调用它的程序员使用mode = 0 … 无论如何 – 当以root身份运行时,DID工作的原因是即使权限不允许,根目录也可以在目录中创build文件。