Hola :) El Martes, 31 de Octubre de 2006 20:29, Carlos E. R. escribió:
El 2006-10-30 a las 11:43 +0100, Rafa Grimán escribió:
Sí, pero los permisos los deberíamos establecer bien. Por ejemplo: /tmp -> chmod 1777 /etc/passwd -> chmod 0644
Que manía teneis los "informáticos" de poner los permisos en octal. Eso es como si me pongo a programar mi calculadora poniendo los opcodes en hexadecimal, que me los sé - bueno, me los sabía.
Es que es más corto que tener que poner: chmod u,g +r fichero y luego: chmod o -r fichero Lo ponemos: chmod 0440 fichero
# Octal permissions (man chmod): # UserID * 4 + GroupID * 2 + sticky * 1 # Read * 4 + Write * 2 + Execute * 1 ( owner ) # Read * 4 + Write * 2 + Execute * 1 ( group ) # Read * 4 + Write * 2 + Execute * 1 ( rest )
O sea, 1777 es rwxrwxrwxt (/tmp). El mío, tal como lo puso el Yast (creo), está en drwxrwxrwt, o sea, bien. Fale, y la "t"? Pues lo de sticky.
Lo del sticky bit tiene su historia en que los ficheros con sticky bit activado se quedaban en memoria (cuando la memoria era cara) de forma que no se perdían ciclos de CPU cargando y descargando ficheros (librerías) de memoria. Al aplicarlo a un directorio, lo que hacemos es decirle: "sólo el dueño original puede borrar el fichero aunque otro usuario tenga permisos para borrarlo".
Y el /etc/passwd, 0644 es rw-r--r-- (lo tengo bien.).
A esto, además, si usamos ext2/3 podemos usar los atributos (man chattr, man lsattr).
¿En que atributo estás pensando? A mi el que me interesa mucho es el de comprimir, pero no lo han desarrollado :-/
Para temas de seguridad, a mi me interesan el i (immutable) y el a (append only). De esta manera (i) no puedes borrar, renombrar, crear un enlace ni añadir contenido y en el caso de (a), sólo puedes hacer un append al fichero. Lo de comprimir ficheros ... con los tamaños actuales de los discos duros ... ;)
Podemos separar determinados directorios en particiones y aislarlas con diferentes opciones de montaje.
Si, el tmp como noexec. Pero eso creo que rompería algunos scripts. Hasta el midnight comander lo usa.
Sí, antes se aconsejaba poner el /home como noexec también, pero te jorunga las X. Esto ya no es lo que era ;)
Crear grupos específicos para meter usuarios y que están limitados.
O acl.
Las ACLs las veo útiles para dar acceso a un usuario que no debería tener acceso, por ejemplo, si tienes un fichero: rwxr----- manolito grupo fichero y pepito NO pertenece a grupo sino a otro_grupo, puedes darle permiso a pepito a leer el fichero, por ejemplo. Rafa -- "Even paranoids have enemies." Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman