Hallo Liste! Wie ich kürzlich gelesen habe, kann man die Rechte von Programmen, die von root ausgeführt werden müssen, aber auch von gewöhnlichen Usern mittels suid-Bit ausgeführt werden können, beschränken, indem man ihnen nur diejenigen root-Rechte gewährt, die für die jeweilige Aufgabe wichtig sind. Überflüssige root-Rechte können wieder genommen und somit ein Mißbrauch des suid-Bits vermieden werden. Wie funktioniert das? Welche man page ist mein Freund? - Matthias -- SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de SelfLinux Beta-Release auf dem LinuxTag - am Stand der PingoS! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
*On Sat, Jun 10, 2000 at 12:37:33AM +0200, Matthias Kleine wrote:
Wie ich kürzlich gelesen habe, kann man die Rechte von Programmen, die von root ausgeführt werden müssen, aber auch von gewöhnlichen Usern mittels suid-Bit ausgeführt werden können,
Ein gesetztes S-bit gibt einem User das Recht dieses mit der ID 0 , also mit rootrecht, zu starten. Dies zieht allerdings nicht bei "gewöhnlichen scripten! Dann sollte man ein tool wie sudo oder su1 einsetzten.
beschränken, indem man ihnen nur diejenigen root-Rechte gewährt, die für die jeweilige Aufgabe wichtig sind.
Ist nicht ganz richtig. Im "Linux-Anwender-Handbuch" (ist auf den SuSE-CD's als und kann installiert, paketserie [doc] werden) wird über diese Thema ausführlicher diskutiert. Es sind (blöderweise) gleich einige Bücher die da installiert werden und man benötigt mal eben 23,6 MB :( Aber es wird sicherlich anschl. wieder was zu löschen sein ;) Installiert werden sie (wahrsch.) unter /usr/doc zu finden sein. Über s-bit, g-bit und sticky-bit haben wir aber auch immer wieder hier in der Liste diskutiert. Deswegen solltest du 'ne Menge dazu in dem Listen-Archiv finden. manpages wüßte ich keine "anständige" :(
Überflüssige root-Rechte können wieder genommen und somit ein Mißbrauch des suid-Bits vermieden werden.
Vorsichtig,...ein gesteztes suid-bit gibt so lange das Recht bis es wieder genommen wird, also die Rechte des Programms also neu gesetzt werden. Für den pppd (ppp-daemon) bsp. wird so ein suid-bit gesetzt um den usern das surfen zu gewährleisten. Aufspüren kannst du alle gesetzten suid-bit's auf deinem System mit: $ find / -perm +4000 -not \(-name /proc \) `-exec ls -l` ...die `` um `-exec ls -l` sind wichtig um es als_einen_Befehl zu interpretieren. Die \ etschärfen die Klammern, sonst würde die bash sie als sonstwas interpretieren. INFO: [man find] Ich bevorzuge die Kombination mit Gruppenrechte. Also ein ausführen nur möglich machen wenn der user in der Gruppe ist. Damit wird das ausnutzen dieser Rechte beschränkt. Erkennen tust du ein gesetztes suid-bit an der 4 vor weg, also zB 4755 ist 4= suid-bit 7=Besitzer ( darf 4+2+1=7 ) ...lesen,schreiben und ausführen. 5= Gruppenangehörige ( darf 4+1=5 ) lesen und ausführen. 5= Welt/ALLE ( darf 4+1=5 ) lesen und ausführen. rwx sieht man auch; r für read, w für write und x für ausführen. r=4 w=2 x=1 folglich wäre rwxr-xr-x =755 Besser hier zu erkennen: =rwx,r-x,r-x Vielleich solltest du dir doch mal sudo und/oder su1 anschauen.
Wie funktioniert das? Welche man page ist mein Freund?
Linux-anwender Handbuch, manpages zum Thema direkt weiß ich keine. Gruß, Clemens -- sig_31 Inhalt eines Bildschirms[[B speichern in dem file 'inhalt': $ setterm -dump <term-nummer> -file ~/inhalt [man setterm ] *Xpage* => http://www.ndh.net/home/wohld --------------------------------------------------------- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Clemens Wohld schrieb am 10.Jun.2000:
*On Sat, Jun 10, 2000 at 12:37:33AM +0200, Matthias Kleine wrote:
Wie ich kürzlich gelesen habe, kann man die Rechte von Programmen, die von root ausgeführt werden müssen, aber auch von gewöhnlichen Usern mittels suid-Bit ausgeführt werden können,
Ein gesetztes S-bit gibt einem User das Recht dieses mit der ID 0 , also mit rootrecht, zu starten.
Wenn ich das richtig sehe, bezieht sich Matthias auf einem Heise-Artikel über einen Bug in dem Linux-Kernel. Habe ich auch gelesen und so wie Matthias verstanden. Meiner Meinung nach, sollte ein Programm, daß das SUID-Bit gesetzt hat nur eine genau begrenzte Aufgabe erfüllen und schon kann nichts passieren. Bernd -- Hast Du bei Problemen schon in der SuSE-Support-Datenbank (SDB) nachgesehen? Auf Deinem Rechner: file://usr/doc/susehilf/index.html | mit Apache: http://localhost/doc/susehilf/index.html | Zufalls- Tagesaktuell bei SuSE: http://sdb.suse.de/sdb/de/html/index.html | signatur 2 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Sam, 10 Jun 2000 schrieb Bernd Brodesser:
Wenn ich das richtig sehe, bezieht sich Matthias auf einem Heise-Artikel über einen Bug in dem Linux-Kernel. Habe ich auch gelesen und so wie Matthias verstanden.
ACK. Was suid macht und warum man es einsetzt war mir schon klar. Was mir neu war, ist, daß es möglich sein soll, einem Programm bestimmte Permissions wieder zu nehmen. Ich darf hier mal die Heise-Meldung zitieren: Der Bug betrifft einen Mechanismus (Capabilities), über den sich das generelle root-Privileg in feiner abgestimmte Rechte aufspalten lässt. Ein Programm, das mit root-Rechten läuft, hat alle Rechte im System - viele davon sind aber völlig unnötig. Ein Mailserver beispielsweise benötigt zwar den Zugriff auf den privilegierten SMTP-Port, aber keine root-Rechte im Dateisystem. Über die Capabilities ist es für ein solches Programm möglich, einzelne, nicht benötigte root-Rechte aus Sicherheitsgründen abzugeben. Der Bug verhindert nun, dass SetUID-Programme diese abgegebenen Rechte wirklich verlieren, wodurch sich vor allem in Server-Anwendungen Lücken auftun können. - Matthias -- SelfLinux http://www.selflinux.de Matthias.Kleine@selflinux.de SelfLinux Beta-Release auf dem LinuxTag - am Stand der PingoS! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Sat, Jun 10, 2000 at 02:47:11PM +0200, Clemens Wohld wrote:
Ein gesetztes S-bit gibt einem User das Recht dieses mit der ID 0 , also mit rootrecht, zu starten.
genauer: ein programm mit SUID bit, wird mit der ID des owners ausgeführt. das muss nicht zwangsläufig root sein. moritz -- Moritz Schulte - hp9001.fh-bielefeld.de/~moritz/, PGP Key available| ---- Zufallssignatur #10: -----------------------------------------| Ein Linux auf einer Floppy ?! | -> www.toms.net/rtbt/ | --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Sam, 10 Jun 2000 schrieb Moritz Schulte:
On Sat, Jun 10, 2000 at 02:47:11PM +0200, Clemens Wohld wrote:
Ein gesetztes S-bit gibt einem User das Recht dieses mit der ID 0 , also mit rootrecht, zu starten.
genauer: ein programm mit SUID bit, wird mit der ID des owners ausgeführt. das muss nicht zwangsläufig root sein.
Wie kann SUID-Bit setzen? --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, Jun 12, Max Moritz Sievers wrote:
Wie kann SUID-Bit setzen?
chmod +s foo_datei man chmod ; pinfo chmod Gruss Olaf -- $ man clone BUGS Main feature not yet implemented... --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, Jun 12, 2000 at 01:32:24 +0200, Max Moritz Sievers wrote:
Wie kann SUID-Bit setzen?
a) numerisch chmod xugo datei wobei x = 4 -> Set-UID 2 -> Set-GID 1 -> Sticky-Bit und ugo = 4 -> Read-Permission 2 -> Write-Permission 1 -> Execute-Permission jeweils für u -> User (Eigentümer) g -> Group (Gruppe des Eigentümers) o -> Other Eine Kombination der Rechte wird durch Addition der Bits erreicht. b) über Erteilen / Entziehen der Rechte: chmod [ugo|a][+|-]s[x] datei Wenn Du also Set-UID-Rechte vergeben willst: chmod 04755 datei ergibt: -rwsr-xr-x Zusätzlich Set-GID-Recht: chmod g+s datei ergibt: -rwsr-sr-x Execute-Recht entziehen: chmod ug-x datei ergibt: -rwSr-Sr-x und ist IMHO ziemlich sinnlos. Jan P.S.: Ich war mal etwas ausführlicher, weil heute Pfingsten ist ;-), aber ansonsten: Zu diesem Thema steht in jedem Linux-Buch was und im Archiv findest Du dazu eine Tonne Mails -> also erstmal RTFM! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Max Moritz, Max Moritz Sievers wrote:
Am Sam, 10 Jun 2000 schrieb Moritz Schulte: Wie kann SUID-Bit setzen?
man chmod chmod u+s CU David -- "Die meisten Menschen pflegen im Kindesalter vom Zeigen auf Gegenstände (Mausbewegung) und 'ga' sagen (Mausklick) abzukommen, zugunsten eines mächtigeren und langwierig zu erlernenden Tools (Sprache)". email: David@dhaller.de www: www.dhaller.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Clemens Wohld wrote: ..
Im "Linux-Anwender-Handbuch" (ist auf den SuSE-CD's als und kann installiert, paketserie [doc] werden) ...
HAllo Clemens, habe ich gemacht (Suse6.4). Das Linuxhandbuch.dvi ist nicht lesbar: dvi-viewer von KDE: "Whats this? DVI-Problem. Not all pixels are found". =================== Mit ghostview FEhlermeldung: ============================ Error: /undefined in ÷ Operand stack: Execution stack: %interp_exit .runexec2 --nostringval-- --nostringval-- --nostringval-- 2 %stopped_push --nostringval-- --nostringval-- --nostringval-- false 1 %stopped_push 1 3 %oparray_pop 1 3 %oparray_pop .runexec2 --nostringval-- --nostringval-- --nostringval-- 2 %stopped_push --nostringval-- --nostringval-- --nostringval-- Dictionary stack: --dict:915/1241(G)-- --dict:0/20(G)-- --dict:50/200(L)-- Current allocation mode isGNU Ghostscript: Unrecoverable error, exit code 1 local Current file position is 3 wird über diese Thema angeblich ist das DVI-Handbuch kompilierbar mit Aufruf von make. Aber auch da FEhlermeldung: root@rex:/usr/doc/Books/Linuxhandbuch-5.0.gpl > make Ver5.0.ps touch Ver5.0.ind latex Ver5.0.tex make: latex: Command not found make: *** [HB.toc] Error 127 Latex ist bei mir nicht installiert. Welches Latex-Paket muss ich installieren? Sonst jemand einen Tip? tia Ekkard
ausführlicher diskutiert.
Es sind (blöderweise) gleich einige Bücher die da installiert werden und man benötigt mal eben 23,6 MB :(
Aber es wird sicherlich anschl. wieder was zu löschen sein ;) Installiert werden sie (wahrsch.) unter /usr/doc zu finden sein.
Über s-bit, g-bit und sticky-bit haben wir aber auch immer wieder hier in der Liste diskutiert. Deswegen solltest du 'ne Menge dazu in dem Listen-Archiv finden.
manpages wüßte ich keine "anständige" :(
Überflüssige root-Rechte können wieder genommen und somit ein Mißbrauch des suid-Bits vermieden werden.
Vorsichtig,...ein gesteztes suid-bit gibt so lange das Recht bis es wieder genommen wird, also die Rechte des Programms also neu gesetzt werden.
Für den pppd (ppp-daemon) bsp. wird so ein suid-bit gesetzt um den usern das surfen zu gewährleisten.
Aufspüren kannst du alle gesetzten suid-bit's auf deinem System mit: $ find / -perm +4000 -not \(-name /proc \) `-exec ls -l`
...die `` um `-exec ls -l` sind wichtig um es als_einen_Befehl zu interpretieren. Die \ etschärfen die Klammern, sonst würde die bash sie als sonstwas interpretieren. INFO: [man find]
Ich bevorzuge die Kombination mit Gruppenrechte. Also ein ausführen nur möglich machen wenn der user in der Gruppe ist. Damit wird das ausnutzen dieser Rechte beschränkt.
Erkennen tust du ein gesetztes suid-bit an der 4 vor weg, also zB 4755 ist 4= suid-bit 7=Besitzer ( darf 4+2+1=7 ) ...lesen,schreiben und ausführen. 5= Gruppenangehörige ( darf 4+1=5 ) lesen und ausführen. 5= Welt/ALLE ( darf 4+1=5 ) lesen und ausführen.
rwx sieht man auch; r für read, w für write und x für ausführen. r=4 w=2 x=1
folglich wäre rwxr-xr-x =755 Besser hier zu erkennen: =rwx,r-x,r-x
Vielleich solltest du dir doch mal sudo und/oder su1 anschauen.
Wie funktioniert das? Welche man page ist mein Freund?
Linux-anwender Handbuch, manpages zum Thema direkt weiß ich keine.
Gruß, Clemens
-- sig_31 Inhalt eines Bildschirms[[B speichern in dem file 'inhalt': $ setterm -dump <term-nummer> -file ~/inhalt [man setterm ] *Xpage* => http://www.ndh.net/home/wohld ---------------------------------------------------------
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Ekkard Gerlach schrieb am 19.Jun.2000:
Clemens Wohld wrote:
Im "Linux-Anwender-Handbuch" (ist auf den SuSE-CD's als und kann installiert, paketserie [doc] werden)
habe ich gemacht (Suse6.4). Das Linuxhandbuch.dvi ist nicht lesbar: dvi-viewer von KDE: "Whats this? DVI-Problem. Not all pixels are found".
Du hast tetex nicht installiert.
Latex ist bei mir nicht installiert. Welches Latex-Paket muss ich installieren? Sonst jemand einen Tip?
tetetx, Serie tex. Ist ein TeX-Paket, das auch LaTeX enthält, brauchst Du aber eigentlich gar nicht, Du willst ja kein LaTeX schreiben. LaTeX ist ein Makropaket zu TeX, und TeX ist ein Satzsystem. Und bitte: TeX, nicht Tex. Schon gar nicht Latex, das ist nämlich so ein Gummizeugs. Es wird auch tech ausgesprochen und nicht etwa teks. Bernd -- Bitte die Etikette von Christian beachten: http://www.ndh.net/home/schult/ Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Bernd Brodesser schrieb in "Re: suid-Bit" [00-06-19 10.28 +0200]:
* Ekkard Gerlach schrieb am 19.Jun.2000:
Latex ist bei mir nicht installiert. Welches Latex-Paket muss ich installieren? Sonst jemand einen Tip?
tetetx, Serie tex. Ist ein TeX-Paket, das auch LaTeX enthält, brauchst Du aber eigentlich gar nicht, Du willst ja kein LaTeX schreiben.
... es sei denn, er will die TeX-Quellen des Buchs nochmal übersetzen, warum auch immer.
LaTeX ist ein Makropaket zu TeX, und TeX ist ein Satzsystem.
Und bitte: TeX, nicht Tex. Schon gar nicht Latex, das ist nämlich so ein Gummizeugs. Es wird auch tech ausgesprochen und nicht etwa teks.
Danke! ;-) -Moss- -- Text- und Bildbearbeitung, Computersatz, technische Beratung. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Wie kann man unter SuSE Linux 6.3 Sub-Domains bzw aliases einrichten ? z.B. für http://myserver:12345 -> http://admin.myserver MfG T --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, 19 Jun 2000, t wrote:
Wie kann man unter SuSE Linux 6.3 Sub-Domains bzw aliases einrichten ? z.B. für http://myserver:12345 -> http://admin.myserver
Du solltest dir die Howtos zu: 1) DNS-Server 2) Redirects 3) und virtuelle Interfaces durchlesen ... Mit freundlichen Grüßen, Joerg Henner. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 Jörg Henner & Adrian Reyer, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Webhosting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Wie kann man unter SuSE Linux 6.3 Sub-Domains bzw aliases einrichten ? z.B. für http://myserver:12345 -> http://admin.myserver
Wichtig, ist zunächst, daß der Nameserver, bzw. die hosts-datei beide
Namen enthält.
Dann mußt du die httpd.conf editiern:
Hier musst Du zunächst Deinem Apache sagen, daß er auch auf dem Port 12345
horchen soll.
Das machst Du mit:
Listen 1234
Danach kommen die Einträge für die virtuellen Domains.
Die sollten in etwa so aussehen:
Ekkard Gerlach schrieb in "Re: suid-Bit" [00-06-19 09.18 +0200]:
Latex ist bei mir nicht installiert. Welches Latex-Paket muss ich installieren?
tetex und was dazugehört; dvips ist wichtig, wenn Du das Ergebnis als PS angucken oder ausdrucken willst. -Moss- -- Text- und Bildbearbeitung, Computersatz, technische Beratung. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Sat, Jun 10, 2000 at 12:37:33AM +0200, Matthias Kleine wrote:
Wie ich kürzlich gelesen habe, kann man die Rechte von Programmen, die von root ausgeführt werden müssen, aber auch von gewöhnlichen Usern mittels suid-Bit ausgeführt werden können, beschränken, indem man ihnen nur diejenigen root-Rechte gewährt, die für die jeweilige Aufgabe wichtig sind. Überflüssige root-Rechte können wieder genommen und somit ein Mißbrauch des suid-Bits vermieden werden.
hmm, entweder ist das SUID bit gesetzt oder es ist nicht gesetzt. meinst du vielleicht das programm 'sudo'? damit kann man gezielt user ein programm mit root rechten starten lassen.
Wie funktioniert das? Welche man page ist mein Freund?
zu sudo: man sudo; man sudoers; man visudo (?) moritz -- Moritz Schulte - hp9001.fh-bielefeld.de/~moritz/, PGP Key available| ---- Zufallssignatur: #16 -----------------------------------------| Auf der Suche nach Linux-Software ? | -> www.freshmeat.net, www.linuxberg.com | --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (13)
-
B.Brodesser@online-club.de -
c.wohld@ndh.net -
David@dhaller.de -
jan-hendrik@benter.de -
Jan.Trippler@t-online.de -
jhe@lihas.de -
Matthias.Kleine@selflinux.de -
max.moritz.sievers@gmx.de -
ml_gerlach@nikocity.de -
mwl@moss.net -
olh@suse.de -
t@t-enterprises.de -
tux@gmx.li