gibt's einen Grund, warum homedirectories mit Rechten 644 angelegt werden ?
Hallo, habe eben auf einem Server ca. 10 User angelegt und stelle mit Schrecken fest, das die Berechtigungen der homedirectories mit 644 angelegt werden. Das war standardmäßig so, ich habe da nichts geändert. Ist das bei Euch auch so ? Die sind doch viel besser mit 600 angelegt. Oder gibt es für 644 einen tieferen Grund, den ich nicht kenne ? Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: 089 3187 1241 fax: 089/3187 3826 http://www.helmholtz-muenchen.de/idg Im Kampf um das Unerreichbare verliert das Erreichte sein Wert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Lentes, Bernd"
Hallo,
habe eben auf einem Server ca. 10 User angelegt und stelle mit Schrecken fest, das die Berechtigungen der homedirectories mit 644 angelegt werden. Das war standardmäßig so, ich habe da nichts geändert. Ist das bei Euch auch so ? Die sind doch viel besser mit 600 angelegt. Oder gibt es für 644 einen tieferen Grund, den ich nicht kenne ?
Die Werte werden in /etc/login.defs festgelegt, in diesem Fall durch umask 022. Der Grund liegt darin, dass auch mal andere User Dateien aus $HOME lesen sollten, z.B. einige Systemuser. Falls dir das nicht zusagt, ändere den Wert für umask. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
habe eben auf einem Server ca. 10 User angelegt und stelle mit Schrecken fest, das die Berechtigungen der homedirectories mit 644 angelegt werden. Das war standardmäßig so, ich habe da nichts geändert. Ist das bei Euch auch so ? Die sind doch viel besser mit 600 angelegt. Oder gibt es für 644 einen tieferen Grund, den ich nicht kenne ?
wie schon von Dieter angeregt sollten auch andere User mal Dateien lesen können. Ausserdem fehlt mir noch der public_html-Ordner an, den der Webserver bei geeigneter Konfiguration noch lesen sollte. Also bei z.B. http://<deinserver>/~<deinuser> zeigt der Webserver den Inhalt des public_html-Ordners an. Mit den 600 Berechtigungen geht das dann nicht. In /etc/skel liegt auch das Template des Home-Directory. Eventuell kannst Du da Berechtigungen anders setzen die dann (müsste man aber testen) bei neu angelegten Usern übernommen werden. Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Patrick Klaus schrieb:
wie schon von Dieter angeregt sollten auch andere User mal Dateien lesen können.
Bin ich der einzige, der meint, daß andere User _nicht_ auf das Homedirectory eines anderen drauf dürfen ? Höchstens vielleicht einige Systemaccounts. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Wed, Mar 17, 2010 at 05:46:43PM +0100, Lentes, Bernd wrote:
Patrick Klaus schrieb:
wie schon von Dieter angeregt sollten auch andere User mal Dateien lesen können.
Bin ich der einzige, der meint, daß andere User _nicht_ auf das Homedirectory eines anderen drauf dürfen ? Höchstens vielleicht einige Systemaccounts.
Editiere /etc/login.defs, # # Umask which is used by useradd and newusers for creating # new home directories. # UMASK 022 Die auf 077 setzen und neue User kriegen homedirs mit 0700 Permission. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 17.03.2010 17:46, schrieb Lentes, Bernd:
Patrick Klaus schrieb:
wie schon von Dieter angeregt sollten auch andere User mal Dateien lesen können.
Bin ich der einzige, der meint, daß andere User _nicht_ auf das Homedirectory eines anderen drauf dürfen ? Höchstens vielleicht einige Systemaccounts.
Anscheinend... Weil man ja in seinem "Heimat-Root" normalerweise nix wirklich "schlimmes" liegen lässt. Das wird ja dann auf weitere Unterverzeichnisse, wie z.B. "Documents" verteilt, auf die dann wieder andere Rechte vergeben werden. Und das vermutlich einfacher und fehlerfreier funktioniert, als rumzufrickeln, dass openssh trotzdem an deine Keys kommt. Gruß Uli -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ulrich Gehauf schrieb:
Am 17.03.2010 17:46, schrieb Lentes, Bernd:
Patrick Klaus schrieb:
wie schon von Dieter angeregt sollten auch andere User mal Dateien lesen können.
Bin ich der einzige, der meint, daß andere User _nicht_ auf
das Homedirectory eines anderen drauf dürfen ?
Höchstens vielleicht einige Systemaccounts.
Anscheinend... Weil man ja in seinem "Heimat-Root" normalerweise nix wirklich "schlimmes" liegen lässt. Das wird ja dann auf weitere Unterverzeichnisse, wie z.B. "Documents" verteilt, auf die dann wieder andere Rechte vergeben werden. Und das vermutlich einfacher und fehlerfreier funktioniert, als rumzufrickeln, dass openssh trotzdem an deine Keys kommt.
Es geht viell. nicht um etwas Schlimmes, aber eventuell Vertrauliches. Mein openssh läuft mit root-Rechten (wie wahrscheinlich die meisten sshd's), so kommt der auch prima an meine authorized_keys ran, die in .ssh liegt. Und mein .ssh hat 700 als Berechtigung. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Wednesday 17 March 2010 17.46:43, Lentes, Bernd wrote:
Patrick Klaus schrieb:
wie schon von Dieter angeregt sollten auch andere User mal Dateien lesen können.
Bin ich der einzige, der meint, daß andere User _nicht_ auf das Homedirectory eines anderen drauf dürfen ? Höchstens vielleicht einige Systemaccounts.
Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Nein, bist nicht der Einzige. Ich lass hier öfters andere Leute meinen Laptop benutzen, z.B. Modelle oder Workshop-Teilnehmer. Und die haben von meinen eigenen Daten rein gar nichts zu sehen, auch wenns da nichts weiter Schlimmes hat. Für diese habe ich einen allgemeinen User eingerichtet, und meinen eigenen so, dass sonst niemand Lesezugriff usw. hat, ausser root natürlich. Das hat mir bis jetzt nie Probleme gemacht, oder ich habe sie nicht bemerkt. nB: als ich das letztes Jahr bemerkte, bin ich auch erschrocken, weil ich einfach angenommen hatte, dass ein anderer User nur auf sein Homeverzeichnis zugreifen kann, ohne das zu checken, und es dann zufällig bemerkt hatte... Gruss Daniel -- Daniel Bauer photographer Basel Barcelona professional photography: http://www.daniel-bauer.com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
Bin ich der einzige, der meint, daß andere User _nicht_ auf das Homedirectory eines anderen drauf dürfen ? Höchstens vielleicht einige Systemaccounts.
wiegesagt public_html ist schonmal ein Grund! Wie soll denn User A mal User B ein Document zum lesen zur Verfügung stellen, ohne das man irgendwelche zusätzliche Spezialordner anlegt? /tmp ist für mich jedenfalls keine Lösung. Ich würde mir eher Gedanken um meine Systemsicherheit machen da deine User sämtliche Systemverzeichnisse z.B. /etc durchstöbern darf, zumindestens mehr als wenn ein User A paar Dateien von User B sehen kann. Wenn Du kein Vertrauen in die User hast, dann würde ich a) entweder gar kein SSH/FTP Account zulassen oder b) nur über Chroot arbeiten. D.h, ein User darf aus seinem /home-Verzeichnis überhaupt nicht raus. Sein home-Verzeichnis ist automatisch auch seom Root-Verzeichnis. Das kann man bei FTP einstellen und bei openSSH in den neueren Versionen auch, oder man nimmt halt rssh dafür. Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Patrick Klaus schrieb:
Hallo,
Bin ich der einzige, der meint, daß andere User _nicht_ auf
das Homedirectory eines anderen drauf dürfen ?
Höchstens vielleicht einige Systemaccounts.
wiegesagt public_html ist schonmal ein Grund!
Ok. Nutze ich aber nicht.
Wie soll denn User A mal User B ein Document zum lesen zur Verfügung stellen, ohne das man irgendwelche zusätzliche Spezialordner anlegt? /tmp ist für mich jedenfalls keine Lösung.
Ja, warum soll man keine Gruppen- oder Poolordner anlegen ? Was ist so schlimm daran ?
Ich würde mir eher Gedanken um meine Systemsicherheit machen da deine User sämtliche Systemverzeichnisse z.B. /etc durchstöbern darf, zumindestens mehr als wenn ein User A paar Dateien von User B sehen kann. Wenn Du kein Vertrauen in die User hast, dann würde ich
Nein, in dem Punkt habe ich kein Vertrauen in meine User. Ausserdem sind das im Homedirectory personenbezogene Daten, da darf kein anderer gucken. Frag 'mal einen Rechtsanwalt. Natürlich dürfen User in /etc rumstöbern. Stimmt. Aber nenn mir eine Datei in /etc, die sie ändern dürfen. Da gehe ich 'mal davon aus, daß eine SuSE-Standardinstallation sicher genug ist. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 17.03.2010 19:13, schrieb Lentes, Bernd:
Nein, in dem Punkt habe ich kein Vertrauen in meine User. Ausserdem sind das im Homedirectory personenbezogene Daten, da darf kein anderer gucken.
Direkt in deinem Home-Verzeichnis? Da liegen bei mir eigentlich nur die ganzen .rc-Dateien und so 3 oder 4 Dateien, die da liegen, damit ich da auch mit einem anderen User drauf zugreifen kann. Der Rest ist in Unterverzeichnissen
Frag 'mal einen Rechtsanwalt.
Der wird dir sagen: "Überall, wo jemand ohne Umgehung eines 'besonderen Schutzes' hinkommt, darf er auch hin." Wenn du da natürlich streng vertrauliche Sachen liegen hast, die aus rechtlichen Gründen kein anderer sehen darf (z.B. "Ärztliche Schweigepflicht"), dann ist das primär dein Problem, wenn die da offen ohne besondere Sicherung rumliegen.
Natürlich dürfen User in /etc rumstöbern. Stimmt. Aber nenn mir eine Datei in /etc, die sie ändern dürfen. Da gehe ich 'mal davon aus, daß eine SuSE-Standardinstallation sicher genug ist.
Naja, Ändern oder schreiben dürfen sie in deinem Home-Verzeichnis auch nicht. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ulrich Gehauf schrieb:
Der wird dir sagen: "Überall, wo jemand ohne Umgehung eines 'besonderen Schutzes' hinkommt, darf er auch hin." Wenn du da natürlich streng vertrauliche Sachen liegen hast, die aus rechtlichen Gründen kein anderer sehen darf (z.B. "Ärztliche Schweigepflicht"), dann ist das primär dein Problem, wenn die da offen ohne besondere Sicherung rumliegen.
Wenn also bei jemanden die Haustür offen steht, weil der Besitzer kurz im Garten ist, darf da jeder rein, weil das ja "ohne Umgehung eines besonderen Schutzes ist". Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd schrieb:
Ulrich Gehauf schrieb:
Der wird dir sagen: "Überall, wo jemand ohne Umgehung eines 'besonderen Schutzes' hinkommt, darf er auch hin." Wenn du da natürlich streng vertrauliche Sachen liegen hast, die aus rechtlichen Gründen kein anderer sehen darf (z.B. "Ärztliche Schweigepflicht"), dann ist das primär dein Problem, wenn die da offen ohne besondere Sicherung rumliegen.
Wenn also bei jemanden die Haustür offen steht, weil der Besitzer kurz im Garten ist, darf da jeder rein, weil das ja "ohne Umgehung eines besonderen Schutzes ist".
"Darf" ist sicher falsch. Sobald derjenige der reinkommt, nicht mehr im "guten Glauben" sein kann, dass er willkommen ist, macht er sich schon strafbar. Aber wenn Du die Tür offen lässt und ihm also den Zugang erleichterst, bist Du unabhängig davon auch dran, wenn in Deinem Hausflur die Bankdaten Deiner Kunden offen rumliegen. Du hast eine Sorgfaltspflicht, unabhängig davon, ob der Täter eine strafbare Handlung begehen muss, um an Dein Zeug zu kommen. cu jth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
Ok. Nutze ich aber nicht.
ja Du nicht, aber andere nutzen das. Hier geht es ja darum warum dies standardmässig so eingerichtet ist.
Wie soll denn User A mal User B ein Document zum lesen zur Verfügung stellen, ohne das man irgendwelche zusätzliche Spezialordner anlegt? /tmp ist für mich jedenfalls keine Lösung.
Ja, warum soll man keine Gruppen- oder Poolordner anlegen ? Was ist so schlimm daran ?
Sicher geht das und es ist auch nicht schlimm. Muss man aber extra einrichten.
Ich würde mir eher Gedanken um meine Systemsicherheit machen da deine User sämtliche Systemverzeichnisse z.B. /etc durchstöbern darf, zumindestens mehr als wenn ein User A paar Dateien von User B sehen kann. Wenn Du kein Vertrauen in die User hast, dann würde ich
Nein, in dem Punkt habe ich kein Vertrauen in meine User. Ausserdem sind das im Homedirectory personenbezogene Daten, da darf kein anderer gucken. Frag 'mal einen Rechtsanwalt. Natürlich dürfen User in /etc rumstöbern. Stimmt. Aber nenn mir eine Datei in /etc, die sie ändern dürfen. Da gehe ich 'mal davon aus, daß eine SuSE-Standardinstallation sicher genug ist.
Nein ändern kann er die Dateien natürlich nicht. Aber er kann extrem viel über das System erfahren und seine Angriffe genau planen und da gibt es genug Möglichkeiten, wenn Du genau weisst wie ein System aufgebaut und konfiguriert ist. Er kann z.B. die /etc/passwd auslesen und auf die angelegten User eine Brute-Force Attacke starten, er braucht ja nur noch das Passwort. Wenn er die Usernamen nicht wüsste, müsste er erstmal den/die Usernamen erraten und dann das Passwort (Ein Grund warum man dem Benutzer Root den SSH-Login verweitert, ist aber auch standardmässig nicht aktiv). Die Firewallkonfiguration in /etc/sysconfig lässt sich auch schön auslesen .... . Alleine das der Benutzer über den Shell-Account schon alle möglichen schädlichen Programme nachinstallieren kann ist schon kritisch, das geht meiner Meinung auch in einer Chroot-Umgebung. Hier sollte z.B. das noexec-Flag für die /home Partition gesetzt sein. Es gab einige Sicherheitslücken in der Vergangenheit wo sich normale User höhere Rechten verschaffen können und die wirds auch in Zukunft geben. Da muss man mit Updates schnell dahinter sein oder z.B. mit Apparmor oder sonstigen arbeiten. Aber die Diskussion führt zu nix. Meine Meinung gibt es Gründe für ein Home-Verzeichnis mit 644 Rechten und genauso Gründe für die 600 Rechte. Das gute ist, man kann es nach belieben ändern ;-). Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Patrick Klaus wrote:
Hallo,
Bin ich der einzige, der meint, daß andere User _nicht_ auf das Homedirectory eines anderen drauf dürfen ? Höchstens vielleicht einige Systemaccounts.
wiegesagt public_html ist schonmal ein Grund!
Wie soll denn User A mal User B ein Document zum lesen zur Verfügung stellen, ohne das man irgendwelche zusätzliche Spezialordner anlegt? /tmp ist für mich jedenfalls keine Lösung.
Da gibt es ein nettes kleines Gimmick bei den Rechten an Verzeichnissen: Gib deinem Homedir die rechte 710 oder 711 (je nachdem, ob die anderen die hier ggf. was lesen dürfen in deiner Gruppe sind oder nicht. Das X-Bit gibt an, ob du ein directory betreten darfts; NICHT aber ob du da lesen darfst! Ergebnis: a) Jeder aus deiner Gruppe/jeder darf in dein Homedir b) KEINER ausser dir kann in deinem Homedir ein "ls" mit Erfolg absetzen und dich "ausspähen" c) wenn du nun ein lokales X mit Rechten 644 dort anlegtst, kann ein anderer das mit "cp ${Dein_HOME}/X Destination_Dir" kopieren Das gilt analog für alle Verzeichnisse. Hast du also unter deinem Home ein Verzeichnis "austausch" mit den Rechten 755, kann dort z.B. jeder, der dein Homedir betreten darf mit "ls ${Dein_HOME}/Austausch" rumstöbern. Wenn du nun noch die "bekannten" Verzeichnissnamen tmp, .ssh o.ä. in deinem HomeDir dicht machst, bist du eigentlich ganz gut abgeschirmt. Andreas PS: Der Threadtitel ist IMO irreführend. Wenn dein Homedir 644 hat kommst du nicht mal selber mehr da rein; das macht KEINEN Sinn. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (8)
-
Daniel Bauer
-
Dieter Kluenter
-
Joerg Thuemmler
-
Kyek, Andreas, VF-DE
-
Lentes, Bernd
-
Marcus Meissner
-
Patrick Klaus
-
Ulrich Gehauf