Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Dateirechte
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 400
Location: münchen.de

PostPosted: Fri Nov 02, 2012 5:43 pm    Post subject: Dateirechte Reply with quote

Hallo zusammen,

da ich einem Freund Zugang zu meinem Server einrichte, hab ich mich mal etwas ausgiebiger mit den Dateirechten unter Linux auseinander gesetzt.

Dazu die Frage: Was ist der Sinn dahinter, dass standardmäßig alle Benutzer, die weder Besitzer noch in der entsprechenden Gruppe sind auf alle Verzeichnisse im Rootverzeichniss und die meisten Unterverzeichnisse lesend zugreifen können (z.B. /etc/ und Unterverzeichnisse). Selbes für die /home/<user> Verzeichnisse.

Bei Single-User Systemen war mir das bisher egal. Aber auch aus Sicherheitsgründen (falls man mal gehackt wird) ist die standard Rechtevergabe nicht ideal.

Habt ihr eine spezielle Strategie für den Umgang mit Dateirechten?
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
firefly
Advocate
Advocate


Joined: 31 Oct 2002
Posts: 4114

PostPosted: Sat Nov 03, 2012 5:20 pm    Post subject: Reply with quote

für /usr/lib, /lib, /usr/bin musst das sein, damit der Benutzer überhaupt ein Programm starten kann.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Back to top
View user's profile Send private message
fuchur
Guru
Guru


Joined: 12 Aug 2003
Posts: 563

PostPosted: Sun Nov 04, 2012 1:07 pm    Post subject: Reply with quote

Hi
forrestfunk81 wrote:
Hallo zusammen,...
Dazu die Frage: Was ist der Sinn dahinter, dass standardmäßig alle Benutzer, die weder Besitzer noch in der entsprechenden Gruppe sind auf alle Verzeichnisse im Rootverzeichniss und die meisten Unterverzeichnisse lesend zugreifen können (z.B. /etc/ und Unterverzeichnisse). Selbes für die /home/<user> Verzeichnisse.
...
Das mit den home verzeichnissen ist "gentoo typisch". Andere dist mache das anders. In meinem home verzeichniss habe ich dateirechte "drwx------"
oder auch "drwx--x--- " und es läuft ohne probleme (und die wurden meist von irgend welchen andern dists gesetzt).

MfG
Back to top
View user's profile Send private message
Max Steel
Veteran
Veteran


Joined: 12 Feb 2007
Posts: 1952
Location: My own world! I and Gentoo!

PostPosted: Sun Nov 04, 2012 1:44 pm    Post subject: Reply with quote

firefly wrote:
für /usr/lib, /lib, /usr/bin musst das sein, damit der Benutzer überhaupt ein Programm starten kann.

Auch /usr/share ist dementsprechend gehandhabt. und so manche userspace-Programme laden aus /etc/ ihre Standardkonfiguration. Ist von dem her schon in Ordnung so.
Kritische Elemente wie /etc/shadow oder /etc/ssh sind von Haus aus für den User nicht lesbar und erst recht nicht schreibbar.
_________________
mfg
Steel
___________________
Big sorry for my bad English.

Heim-PC: AMD Phenom II X4 3,2GHz, 16GB RAM, gentoo-sources-3.10.7, NV GTX 780
Laptop: Intel Celeron 1,7GHz, 512MB Ram, tuxonice-sources-3.7.1, SIS Graphic

Version 0.4
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 400
Location: münchen.de

PostPosted: Tue Nov 06, 2012 11:32 am    Post subject: Reply with quote

Danke für die Antworten.

Die Rechte in den Home Verzeichnissen habe ich schon mal angepasst. Einige etc-Verzeichnisse passe ich noch Schritt für Schritt an.

Ich fände es trotzdem schöner, wenn für Anwendungen, für welche bei der Installation sowieso schon Nutzer erstellt werden, auch die config Dateien in etc gleich den entsprechenden Nutzern zugeordnet werden (z.B. bei Apache).
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1471
Location: St. Wendel

PostPosted: Tue Nov 06, 2012 11:57 am    Post subject: Reply with quote

Quote:
Ich fände es trotzdem schöner, wenn für Anwendungen, für welche bei der Installation sowieso schon Nutzer erstellt werden, auch die config Dateien in etc gleich den entsprechenden Nutzern zugeordnet werden (z.B. bei Apache).


Das ist eine schlechte Idee, den dann könnte der Webserver selber seine Config verändern, was dann doch eher nicht gewünscht ist, aus nahe liegenden Gründen.

Bye
Py
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 400
Location: münchen.de

PostPosted: Tue Nov 06, 2012 2:14 pm    Post subject: Reply with quote

py-ro wrote:
Quote:
Ich fände es trotzdem schöner, wenn für Anwendungen, für welche bei der Installation sowieso schon Nutzer erstellt werden, auch die config Dateien in etc gleich den entsprechenden Nutzern zugeordnet werden (z.B. bei Apache).


Das ist eine schlechte Idee, den dann könnte der Webserver selber seine Config verändern, was dann doch eher nicht gewünscht ist, aus nahe liegenden Gründen.

Bye
Py


Danke, soweit hab ich nicht gedacht. Dann vllt root:apache mit drwxr-----
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1471
Location: St. Wendel

PostPosted: Tue Nov 06, 2012 2:24 pm    Post subject: Reply with quote

Der Apache wird eh als root gestartet, den sonst könnte er sich nicht an Port 80 binden. ;)
Back to top
View user's profile Send private message
schmidicom
l33t
l33t


Joined: 09 Mar 2006
Posts: 993
Location: Schweiz

PostPosted: Tue Nov 06, 2012 3:07 pm    Post subject: Reply with quote

py-ro wrote:
Der Apache wird eh als root gestartet, den sonst könnte er sich nicht an Port 80 binden. ;)

Bist du dir da wirklich sicher?
Code:
top - 16:09:08 up 110 days,  3:39,  1 user,  load average: 0.01, 0.04, 0.05
Tasks:  83 total,   1 running,  82 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   4055040k total,  2406152k used,  1648888k free,   432692k buffers
Swap:  3911792k total,        0k used,  3911792k free,  1385776k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
25238 apache    20   0  308m 9132 1372 S    0  0.2   0:00.00 apache2
25279 apache    20   0  341m  10m 2208 S    0  0.3   0:00.00 apache2
25280 apache    20   0  341m  10m 2208 S    0  0.3   0:00.00 apache2
25281 apache    20   0  341m  10m 2208 S    0  0.3   0:00.00 apache2
25282 apache    20   0  341m  10m 2208 S    0  0.3   0:00.00 apache2
25283 apache    20   0  341m  11m 3556 S    0  0.3   0:00.50 apache2
29919 apache    20   0  341m  10m 2208 S    0  0.3   0:00.00 apache2
29921 apache    20   0  341m  11m 3548 S    0  0.3   0:00.03 apache2
29922 apache    20   0  341m 9808 1712 S    0  0.2   0:00.00 apache2
29923 apache    20   0  341m  11m 3544 S    0  0.3   0:00.00 apache2
29924 apache    20   0  341m 9808 1712 S    0  0.2   0:00.00 apache2

_________________
Mich braucht jeder. Zumindest behaupten viele, ich hätte gerade noch gefehlt. ;)
GPG: 0x54A19454 - Download | (0x5E2B12A0 ist veraltet)
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1471
Location: St. Wendel

PostPosted: Tue Nov 06, 2012 3:16 pm    Post subject: Reply with quote

Ja, er wechselt beim Starten dann auf apache herunter.
Back to top
View user's profile Send private message
mv
Advocate
Advocate


Joined: 20 Apr 2005
Posts: 4079

PostPosted: Tue Nov 06, 2012 7:38 pm    Post subject: Reply with quote

py-ro wrote:
Ja, er wechselt beim Starten dann auf apache herunter.

Ich vermute, es ginge auch mit capabilities. Wird vielleicht sogar per USE-Flag unterstützt?
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1471
Location: St. Wendel

PostPosted: Tue Nov 06, 2012 7:43 pm    Post subject: Reply with quote

Mag sein, finde ich aber persönlich albern, den dann müssten die Rechte ja schon im Init-Skript geändert werden und ob das dort oder im Prozess passiert ist IMHO wurscht.
Back to top
View user's profile Send private message
mv
Advocate
Advocate


Joined: 20 Apr 2005
Posts: 4079

PostPosted: Wed Nov 07, 2012 7:50 pm    Post subject: Reply with quote

py-ro wrote:
Mag sein, finde ich aber persönlich albern, den dann müssten die Rechte ja schon im Init-Skript geändert werden und ob das dort oder im Prozess passiert ist IMHO wurscht.

Hu? Mit capabilities müssen gar keine Rechte geändert werden, und nichts muss irgendwann als root laufen. (Dass man zusätzlich ev. nach dem Anhängen an den gewünschten Port diese Capabilities ebenfalls fallenlassen kann, würde ich nicht als Rechteänderung bezeichnen.)
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1471
Location: St. Wendel

PostPosted: Thu Nov 08, 2012 8:55 am    Post subject: Reply with quote

Das ändert aber nichts daran, dass init als Root läuft und das den Apache startet. ;)
Back to top
View user's profile Send private message
mv
Advocate
Advocate


Joined: 20 Apr 2005
Posts: 4079

PostPosted: Thu Nov 08, 2012 1:06 pm    Post subject: Reply with quote

py-ro wrote:
Das ändert aber nichts daran, dass init als Root läuft und das den Apache startet. ;)

Der muss ja nicht zwangläufig nur aus init gestartet werden. Auf jeden Fall spart man sich Parsen von Configs mit Root-Rechten - ich vermute, die müssen sonst nämlich zwangsläufig vorher geparsed werden, damit Apache weiß, auf welchen Benutzer er umschalten muss. Und je nachdem, wie Apache programmiert ist, können da schon sehr komplexe Sachen ablaufen, die möglicherweise Exploits erlauben könnten.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum