Hallo Liste!
Wie erreiche ich es, dass beim Login für jeden Benutzer sein eigenes Profil gestartet wird? (Nachhaltbar mit dem Befehl env). Unter /etc/profile bzw. /etc/profile.local stehen nur die Einstellungen, die für alle Benutzer gelten. Im Home Verzeichnis stehen zwar auch Angaben (mit Punkt beginnend), aber das funktioniert nicht so richtig. Außerdem kann der Benutzer diese ändern, was nicht der Fall sein soll.
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Dr. Oliver Lohmann [lohmann@tamnet.de] wrote:
Wie erreiche ich es, dass beim Login für jeden Benutzer sein eigenes Profil gestartet wird? (Nachhaltbar mit dem Befehl env). Unter /etc/profile bzw. /etc/profile.local stehen nur die Einstellungen, die für alle Benutzer gelten. Im Home Verzeichnis stehen zwar auch Angaben (mit Punkt beginnend), aber das funktioniert nicht so richtig.
Warum nicht? Also bei mir tut das anstandslos. Ich arbeite mit der bash, also alles in die ~/.bashrc. Für die csh ~/.cshrc, und für alle shells in die ~/.profile.
Außerdem kann der Benutzer diese ändern, was nicht der Fall sein soll.
Dann entzieh einfach dem Benutzer die Schreibberechtigung auf die Profildatei. chown root ~/.profile ...
Don't panic Kilian
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Kilian Huber schrieb am 31.Mai.2000:
Dr. Oliver Lohmann [lohmann@tamnet.de] wrote:
Wie erreiche ich es, dass beim Login für jeden Benutzer sein eigenes Profil gestartet wird? (Nachhaltbar mit dem Befehl env). Unter /etc/profile bzw. /etc/profile.local stehen nur die Einstellungen, die für alle Benutzer gelten. Im Home Verzeichnis stehen zwar auch Angaben (mit Punkt beginnend), aber das funktioniert nicht so richtig.
Warum nicht? Also bei mir tut das anstandslos. Ich arbeite mit der bash, also alles in die ~/.bashrc. Für die csh ~/.cshrc, und für alle shells in die ~/.profile.
~/.profile wird bei der bash aber nur von Loginshells aufgerufen. Die erhält man normalerweise, wenn man sich in der Konsole einloggt, nicht aber wenn man ein xterm öffnet, denn dann loggt man sich nicht ein. Auch wenn man auf der Konsole mit bash eine neue Shell eröffnet wird nicht ~/.profile aufgerufen. Wohl wenn man bash --login sagt, auch in einem xterm.
Außerdem kann der Benutzer diese ändern, was nicht der Fall sein soll.
Warum sollte ein Benutzer nicht seine eigene Umgebung verändern dürfen? Warum diese Einschränkung?
Ist es ein bösartiger User oder ein dummer? Wenn er bösartig ist, so kommst Du so nicht weiter, wenn er nur Dumm ist, so kannst Du es ruhig so lassen, denn wenn er weiß wie er ~/.bashrc ändern kann, kann er ja nicht so dumm sein. ;)
Dann entzieh einfach dem Benutzer die Schreibberechtigung auf die Profildatei. chown root ~/.profile ...
Das wird nichts nützen. Er kann immer noch ~/.profile, ~/.bashrc oder so löschen und neu anlegen. Das kann man nur verhindern, wenn er keine Schreibrechte im eigenen Verzeichnis hat, und das wird man wohl kaum wollen.
Was soll der User den nicht ändern dürfen? Mit Hand kann er es immer machen. Wenn er einen bestimmten Pfad nicht haben soll, so kann er aber trotzdem export PATH=... eingeben und hat ihm sodann. Auch kann er ja die Befehle mit vollen Pfad eingeben. Warum also sollte er nicht den Pfad nach seinen Bedürfnissen einstellen können? Oder sein Promt so ändern wie er es will, oder, oder oder. Mit Hand kann er es ohnehin.
Wenn man wirklich was machen will, was der User nicht ändern kann, so muß man in der /etc/profile bzw. in der /etc/profile.local ein test auf id -u machen. Und je nach Antwort verschiedene Aktionen machen.
Wenn man das macht, sollte man sich aber gut auskennen, sonst kann man bald sein blaues Wunder erleben. User schaffen es immer wieder einem da auszutricksen. Wenn der Frager sich damit aber gut auskennen würde, würde er nicht fragen.
Generell noch was dazu. Warum so wenig Vertrauen? Wenn ich irgendwo arbeiten müßte, wo man mir so wenig Vertrauen entgegenbringt, so würde ich das nicht besonders toll finden. Ich würde da bestimmt nicht den vollen Einsatz zeigen.
Bernd
Bernd Brodesser wrote:
Generell noch was dazu. Warum so wenig Vertrauen? Wenn ich irgendwo arbeiten müßte, wo man mir so wenig Vertrauen entgegenbringt, so würde ich das nicht besonders toll finden. Ich würde da bestimmt nicht den vollen Einsatz zeigen.
ca. 60 % (+) der probleme in netzwerken kommen von innen, sprich den eigenen mitarbeitern.
omit ist vertrauen in firmenumgebungen mit sicherheit nicht angebracht. uni's sind da gleichgestellt.
gruß
oliver
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Oliver Leue schrieb am 31.Mai.2000:
Bernd Brodesser wrote:
Generell noch was dazu. Warum so wenig Vertrauen? Wenn ich irgendwo arbeiten müßte, wo man mir so wenig Vertrauen entgegenbringt, so würde ich das nicht besonders toll finden. Ich würde da bestimmt nicht den vollen Einsatz zeigen.
ca. 60 % (+) der probleme in netzwerken kommen von innen, sprich den eigenen mitarbeitern.
Welche Probleme? Worum geht es? Irgendwelche Probleme wird es schon geben, wo ca. 60% von innen kommt. Betriebsspionage? Dann würde ich als erstes ein Mißtrauischen Blick auf dem Sysadmin werfen.
Was sonst? Sabotage? Da muß man nur feststellen, von wem es kommt und schon ist alles klar.
Natürlich gibt es Daten, auf dem ein normaler User keinen Zugang haben sollte. Das regelt man aber nicht, indem ich ihm verbiete, seine Umgebung so zu gestalten wie er es will. Was soll das für einen Sinn machen.
Wenn ein User eine Datei nicht lesen soll, dann gebe ich ihm keine Leserechte auf diese Datei, am besten keine Ausführungsrechte für das Verzeichnis. Geht natürlich nur, wenn der User nichts, aber auch gar nichts braucht, was sich irgendwie unterhalb dieses Verzeichnisses befindet.
Aber warum soll der User nicht rote Schrift auf blauen Grund einstellen können, wenn es ihm gefällt? Kann er so wie so, nur nicht so konfortabel.
somit ist vertrauen in firmenumgebungen mit sicherheit nicht angebracht.
Doch ist es wohl. Wenn ich meinen Mitarbeiter als Feind betrachte, dann sollte ich es sein lassen. Sicher hat es auch was mit der Größe des Unternehmens zu tun. Fünf Leute würde ich eher vertrauen als fünftausend.
Mit welchem Recht kann ich einem Mitarbeiter, von dem ich vollen Einsatz für das Unternehmen verlange, mit solch einem Mißtrauen begegnen. Entweder ich sehe in meinem Mitarbeiter einen Partner oder einen Mietsklaven.
uni's sind da gleichgestellt.
Nein, sind sie nicht. Jedenfalls nicht, wenn da auch normale Studenten als User mit dabei sind. An Uni's sind massenhaft Studenten, von denen sich viele nicht im Geringsten mit der Hochschule identifizieren. Da ist es viel wahrscheinlicher, daß das Saboteure am Werk sind.
Auch verlange ich einem Studenten keinerlei Leistung ab. Ich habe da kein Vertrauensverhältnis wie zu einem Mitarbeiter. Zu den Mitarbeiter einer Hochschule sieht es natürlich anders aus.
Bernd
Bernd Brodesser schrieb in 2,8K (69 Zeilen):
- Oliver Leue schrieb am 31.Mai.2000:
ca. 60 % (+) der probleme in netzwerken kommen von innen, sprich den eigenen mitarbeitern.
Welche Probleme? Worum geht es? Irgendwelche Probleme wird es schon geben, wo ca. 60% von innen kommt.
Ja, die Nutzer machen Probleme ... weg mit den Usern und das Netzwerk wird frei, die Probleme verschwinden ... :-)
[Snip gute punkte]
somit ist vertrauen in firmenumgebungen mit sicherheit nicht angebracht.
[Snip gute punkte]
Da passt der folgende Artikel wie die Faust auf's Auge ...
%3Cd041368bdbded368e5f246c22e4942dd@fitug.de%3E">http://search.dejanews.com/msgid.xp?MID=%3Cd041368bdbded368e5f246c22e4942dd@...</A>
Date: 02 Jun 2000 00:00:00 +0000 From: K@i-Fett.de (Kai Fett) Newsgroups: de.comp.security Message-ID: 7f6jJW7$h$B@schnism.inka.de Subject: Re: Virus?
[...]
Du glaubst also, daß man die Daten innerhalb einer Firma sichern kann, indem man den Mitarbeitern bei der Netzwerk- Nutzung möglichst viele Steine in den Weg legt? »http-get ist default-an, für telnet, ftp und http-put braucht man eine Sonderzulassung, die für einen Werktag gilt und eine Woche im Vorraus mit Abteilungsleiter-Unterschrift beantragt werden muß«. Schon live erlebt. Enorme Kosten für Verwaltung, enorme Uneffektivität der Mitarbeiter in der Netznutzung.
Wenn ein MA Daten aus der Firma klauen will, brennt er die auf eine CD und nimmt sie im Koffer mit raus, er wird die garantiert nicht irgendwie durch die klassische 2MBit ja 1000 MA-Internetverbindung rausschieben.
[...]
-Wolfgang
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Kilian Huber wrote: [...]
Außerdem kann der Benutzer diese ändern, was nicht der Fall sein soll.
Dann entzieh einfach dem Benutzer die Schreibberechtigung auf die Profildatei. chown root ~/.profile ...
Als user:
rm ~/.profile
und eigene erzeugen! Schon ist die Regelung ausgehebelt.
Heiner
Heiner Lamprecht schrieb in 0,7K (28 Zeilen):
Kilian Huber wrote:
Dann entzieh einfach dem Benutzer die Schreibberechtigung auf die Profildatei. chown root ~/.profile ...
Als user:
rm ~/.profile
und eigene erzeugen! Schon ist die Regelung ausgehebelt.
$ ls -lad . .profile .profile.old drwxr-x--- 57 weissel users 5120 Jun 18 21:27 . -rw-r--r-- 1 weissel users 487 Aug 27 1999 .profile -rw-r--r-- 1 weissel users 487 Jun 18 21:33 .profile.old $ whoami weissel $ rm .profile rm: remove write-protected file `.profile'? y rm: cannot unlink `.profile': Operation not permitted $ cat /dev/null > .profile bash: .profile: Permission denied $ rm .profile.old $ rm -r /home/weissel/ rm: remove write-protected file `/home/weissel/.profile'? y rm: cannot unlink `/home/weissel/.profile': Operation not permitted rm: cannot remove directory `/home/weissel': Directory not empty $
Wer weiss die Loesung? :-)
-Wolfgang
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo..... ;)))
* On Sun, Jun 18, 2000 at 09:38:42PM +0200, Wolfgang Weisselberg wrote:
Heiner Lamprecht schrieb in 0,7K (28 Zeilen):
Kilian Huber wrote:
Dann entzieh einfach dem Benutzer die Schreibberechtigung auf die Profildatei. chown root ~/.profile ...
Als user:
rm ~/.profile
und eigene erzeugen! Schon ist die Regelung ausgehebelt.
Wer weiss die Loesung? :-)
Ich ;) ..........verate aber nichts, führe vor:
erde[5]:~ # id uid=0(root) gid=0(root)
erde[5]:~ # rm /etc/fstab rm: Entfernen von »/etc/fstab« nicht möglich: Die Operation ist nicht erlaubt
erde[5]:~ #
Ohhhhh,....nix geht nichtmal schreiben. HUCH.
....tja, es gibt die Möglichkeit files sogar vor root zu schützen ;))
Gruß, Clemens
Clemens Wohld (c.wohld@ndh.net) wrote:
CW> Ohhhhh,....nix geht nichtmal schreiben. HUCH.
CW> ....tja, es gibt die Möglichkeit files sogar vor root zu schützen CW> ;))
<schussinsblaue> Ich kenn mich mit diesem Thema nicht wirklich aus, aber könnte das mit dem Sticky-Bit gehen? Also chown + Sticky? </schussinsblaue>
Andreas Reich schrieb in 0,7K (26 Zeilen):
Clemens Wohld (c.wohld@ndh.net) wrote:
CW> ....tja, es gibt die Möglichkeit files sogar vor root zu schützen CW> ;))
Also chown + Sticky?
nein.
-Wolfgang
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Wolfgang Weisselberg schrieb am 25.Jun.2000:
Andreas Reich schrieb in 0,7K (26 Zeilen):
Clemens Wohld (c.wohld@ndh.net) wrote:
CW> ....tja, es gibt die Möglichkeit files sogar vor root zu schützen CW> ;))
Also chown + Sticky?
nein.
chattr?
Bernd
Bernd Brodesser schrieb in 0,7K (26 Zeilen):
- Wolfgang Weisselberg schrieb am 25.Jun.2000:
Andreas Reich schrieb in 0,7K (26 Zeilen):
Also chown + Sticky?
nein.
chattr?
Aeh ... hmmm ... also ... tja ...
ja.
-Wolfgang
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Mon, 26 Jun 2000 schrieben Sie:
- Wolfgang Weisselberg schrieb am 25.Jun.2000:
Andreas Reich schrieb in 0,7K (26 Zeilen):
Clemens Wohld (c.wohld@ndh.net) wrote:
CW> ....tja, es gibt die Möglichkeit files sogar vor root zu schützen CW> ;))
Also chown + Sticky?
nein.
chattr?
Bernd
Genau. +i.
M
* On Mon, Jun 26, 2000 at 06:01:33AM +0200, Bernd Brodesser wrote:
- Wolfgang Weisselberg schrieb am 25.Jun.2000:
Andreas Reich schrieb in 0,7K (26 Zeilen):
Clemens Wohld (c.wohld@ndh.net) wrote:
CW> ....tja, es gibt die Möglichkeit files sogar vor root zu schützen CW> ;))
Also chown + Sticky?
nein.
chattr?
....und welche Option?? ;-)
Gruß, Clemens
* Clemens Wohld schrieb am 26.Jun.2000:
- On Mon, Jun 26, 2000 at 06:01:33AM +0200, Bernd Brodesser wrote:
chattr?
....und welche Option??
Jedenfalls keine bei ReiserFS, denn da funktioniert es nicht.
Bernd
Wolfgang Weisselberg (weissel@netcologne.de) wrote:
CW> ....tja, es gibt die Möglichkeit files sogar vor root zu schützen CW> ;))
Also chown + Sticky?
WW> nein.
Jetzt mach es doch nicht so spannend...
Moin,
On Mon, 26 Jun 2000, Andreas Reich wrote:
Wolfgang Weisselberg (weissel@netcologne.de) wrote:
CW> ....tja, es gibt die Möglichkeit files sogar vor root zu schützen CW> ;))
Also chown + Sticky?
WW> nein.
Jetzt mach es doch nicht so spannend...
<man chattr> file with the `i' attribute cannot be modified: it can- not be deleted or renamed, no link can be created to this file and no data can be written to the file. Only the
E2fsprogs version 1.18 November 1999 1
CHATTR(1) CHATTR(1) </man chattr>
... may the Tux be with you! =Thomas=
Clemens Wohld schrieb in 1,2K (51 Zeilen):
Ohhhhh,....nix geht nichtmal schreiben. HUCH.
....tja, es gibt die Möglichkeit files sogar vor root zu schützen ;))
Wenn root das zuruecksetzen kann, ist es nicht schwieriger als eine abgeschlossene Tuer ... wenn du den Schluessel hast.
-Wolfgang
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Clemens Wohld wrote:
- On Sun, Jun 18, 2000 at 09:38:42PM +0200, Wolfgang Weisselberg wrote:
Wer weiss die Loesung? :-)
Ich ;) ..........verate aber nichts, führe vor:
Security by obscurity?
erde[5]:~ # id uid=0(root) gid=0(root)
erde[5]:~ # rm /etc/fstab rm: Entfernen von »/etc/fstab« nicht möglich: Die Operation ist nicht erlaubt
erde[5]:~ #
Ohhhhh,....nix geht nichtmal schreiben. HUCH.
....tja, es gibt die Möglichkeit files sogar vor root zu schützen ;))
Insbesondere, wenn er dann vergisst wie er das gemacht hat, nicht wahr, Clemens? ;-)
christian
* On Sun, Jun 25, 2000 at 08:41:23PM +0200, Christian Schult wrote:
- Clemens Wohld wrote:
- On Sun, Jun 18, 2000 at 09:38:42PM +0200, Wolfgang Weisselberg wrote:
Wer weiss die Loesung? :-)
Ich ;) ..........verate aber nichts, führe vor:
Security by obscurity?
erde[5]:~ # id uid=0(root) gid=0(root)
erde[5]:~ # rm /etc/fstab rm: Entfernen von »/etc/fstab« nicht möglich: Die Operation ist nicht erlaubt
erde[5]:~ #
Ohhhhh,....nix geht nichtmal schreiben. HUCH.
....tja, es gibt die Möglichkeit files sogar vor root zu schützen ;))
Insbesondere, wenn er dann vergisst wie er das gemacht hat, nicht wahr, Clemens? ;-)
Ich, hab ich schonmal was vergessen?? <grübel> **gg**
Das merk ich mir, ausserdem hast du es auch nur zu 80% gelöst. Auch so gibts keine Waschmaschine ;))
Gruß, Clemens
PS: Das merk ich mir Schulle ;)) ...rache naht!
On Mit, 31 Mai 2000, Dr. Oliver Lohmann wrote:
Wie erreiche ich es, dass beim Login für jeden Benutzer sein eigenes Profil gestartet wird? (Nachhaltbar mit dem Befehl env). Unter /etc/profile bzw. /etc/profile.local stehen nur die Einstellungen, die für alle Benutzer gelten. Im Home Verzeichnis stehen zwar auch Angaben (mit Punkt beginnend), aber das funktioniert nicht so richtig. Außerdem kann der Benutzer diese ändern, was nicht der Fall sein soll.
$HOME/.profile $HOME/.bashrc
und dann noch rechte mit "444" und es past für dich ;)
Mit freundlichen Grüßen,
Joerg Henner.
*On Wed, May 31, 2000 at 01:58:20PM +0200, Dr. Oliver Lohmann wrote:
Wie erreiche ich es, dass beim Login für jeden Benutzer sein eigenes Profil gestartet wird? i
Indem du die ~.profile in der /etc/profile sourced!
An der shell: $ . ~/.profile oder $ source ~/.profile
Das ganze in die (entweder in die /etc/profile || /etc/profile.local oder aber in der ~/.bashrc.
Folgendes in einer dieser files:
test -e ~/.profile && . ~./profile
testen ob es eine ~/.profile gibt, wenn ja einlesen.
(Nachhaltbar mit dem Befehl env). Unter /etc/profile bzw. /etc/profile.local stehen nur die Einstellungen, die für alle Benutzer gelten. Im Home Verzeichnis stehen zwar auch Angaben (mit Punkt beginnend), aber das funktioniert nicht so richtig.
.....weil du niemanden von deinem Vorhaben erzählst! Wenigstens deinem Computer solltest du trauen ;)
Außerdem kann der Benutzer diese ändern, was nicht der Fall sein soll.
...und jetzt:
Was im $HOME liegt ist numal unter den Fitichen von dem "Besitzer"! Selbst wenn root ein file unter &HOME ablegt kann dieses vom "Eigentümer/User" gelöscht werden ;)
Gruß, Clemens
-
B.Brodesser@online-club.de -
c.wohld@ndh.net -
cschult@gmx.de -
heiner@kijumfo.de -
jhe@lihas.de -
kil@bunny.ch -
lohmann@tamnet.de -
michael@m-andresen.de -
ml@bendler-net.de -
ol@ccmconsult.de -
webmaster@cyraxx.de -
weissel@netcologne.de