/home/<USER> vor fremden Blicken schützen
Hallo zusammen, ich muss mich leider als "Verzeichnis-Rechte und umask" DAU outen... Ich möchte vermeiden das Benutzer die Daten anderer Benutzer sehen können. Derzeit ist das eine Standard SuSE 10.2 Installation, allerdings ist das home Verzeichnis schon etliche Jahre alt und die Rechte an den Dateien entsprechne vermutlich nicht dem Standard der openSuSE 10.2 Wie kann ich nun neugierige Benutzer, so einschränken das sie nicht in anderen Verzeichnissen rum schummeln können? Genügt es sie aus der Gruppe user raus zunehmen? Oder handele ich mir damit anderer Probleme ein? Macht es Sinn die umask der user zu ändern und alle Dateien unter home/Benutzer anzupassen? Vermutlich keine gute Idee - wenn ich and ~/bin oder ~/.kde/..... denke. Darum die Frage an die Experten - es muss da ja sicher sogar einen Standard geben da sich vermutlich die Frage schon so oft gestellt hat. Habe allerdings im Archiv und mit google nicht brauchbare gefunden. Schon mal vielen Dank für Euch Hilfe :-) bushveld -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Du könntest die eigentlichen user-Verzeichnisse in /home/ nur mit Rechten für den Eigentümer ausstatten. Das dürfte wohl Deiner Absicht entsprechen, oder? Gruß Oliver -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Oliver, On Sonntag, 10. August 2008, Oliver Zimmermann wrote:
Du könntest die eigentlichen user-Verzeichnisse in /home/ nur mit Rechten für den Eigentümer ausstatten. Das dürfte wohl Deiner Absicht entsprechen, oder? Ja aber.. ich muss die umask änder und ich weis nicht ob das andere Applikationen unter KDE stört und was mache ich mit den tausenden dateien? da würde es unter ./kde und ./gpg sicher Probleme geben.
Viele Grüße bushveld -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Son, 10 Aug 2008, Michael schrieb:
On Sonntag, 10. August 2008, Oliver Zimmermann wrote:
Du könntest die eigentlichen user-Verzeichnisse in /home/ nur mit Rechten für den Eigentümer ausstatten. Das dürfte wohl Deiner Absicht entsprechen, oder? Ja aber.. ich muss die umask änder [..]
Nein. Ein 'chmod 700 /home/user' sollte reichen. Was evtl. sinnvoll sein kann ist, jeden User in eine eigene Gruppe zu stecken, das machen einige Distributionen so (Debian?). Die ~ gehören dann jew. zu dieser (ein-User) Gruppe. Die user sind dann zusätzlich noch in der Gruppe users. Generell solltest du dir mal ne Einführung zu den Rechten auf Unix-Systemen durchlesen... Hier zum Beispiel: http://www.selflinux.org/selflinux/html/nutzer_unter_linux.html -dnh -- Dann denk ich immer, "Die is genauso gespannt was sie gleich sagen wird, wie ich". Und weil sie meistens ja nichts sagen will, weil sie sich auf keinen Fall festlegen will, dann fängt sie erstmal an, so ein paar Sprechblasen abzusondern. -- Volker Pispers, "Bis neulich" (2007), über Merkel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo David, Am Mo, 11.08.2008, 03:40, schrieb David Haller:
Am Son, 10 Aug 2008, Michael schrieb:
On Sonntag, 10. August 2008, Oliver Zimmermann wrote:
Du könntest die eigentlichen user-Verzeichnisse in /home/ nur mit Rechten für den Eigentümer ausstatten. Das dürfte wohl Deiner Absicht entsprechen, oder? Ja aber.. ich muss die umask änder [..]
Nein. Ein 'chmod 700 /home/user' sollte reichen.
Aber werden dann neue Dateien nicht wieder mit der umask des systems / users angelegt bei der Suse 10.2 also wieder mit Berechtigungen für die Gruppe? Ausserdem bekommen dann ja alle Dateien die Ausführbarkeit - macht das Sinn? Sorry das ist fachlich nicht persönlich gemeint.
Was evtl. sinnvoll sein kann ist, jeden User in eine eigene Gruppe zu stecken, das machen einige Distributionen so (Debian?). Die ~ gehören dann jew. zu dieser (ein-User) Gruppe. Die user sind dann zusätzlich noch in der Gruppe users. Hm, was bringt mir der Unterschied? Es ist sicher ein Sinn dahinter aber ich hab den Vorteil noch nicht gesehen. Also nach aussen funktioniert die Gruppe users immer noch nur über den Umweg der single user groups aber damit haben immer noch alle Zugriff auf alles was für die Gruppe users berechtigt ist.
Vielen Dank und schönen Montag Morgen :-))) bushveld -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Guten Tag Michael, am Montag, 11. August 2008 um 08:04 schrieben Sie:
Hallo David,
Am Mo, 11.08.2008, 03:40, schrieb David Haller:
[..]
Nein. Ein 'chmod 700 /home/user' sollte reichen.
700 = lesen+schreiben+ausführen für den user und nix für gruppe und nix für alle.
Ausserdem bekommen dann ja alle Dateien die Ausführbarkeit - macht das Sinn? Sorry das ist fachlich nicht persönlich gemeint.
Nur der eigentümer kann ausführen. sonst keiner.
Vielen Dank und schönen Montag Morgen :-))) bushveld Dito.
Sebastian -- Mit freundlichen Grüßen Sebastian Gödecke mailto:webmaster@simkat.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mo, 11.08.2008, 08:48, schrieb Sebastian Gödecke:
Guten Tag Michael,
Hallo David, Am Mo, 11.08.2008, 03:40, schrieb David Haller:
[..] Nein. Ein 'chmod 700 /home/user' sollte reichen.
700 = lesen+schreiben+ausführen für den user und nix für gruppe und nix für alle.
Nur der eigentümer kann ausführen. sonst keiner.
Vielen Dank das ist ja klar, aber will ich wirklich eine readme Datei ausführbar machen? Auch wenn sie nur für mich ausführbar ist? Und was ist mir Verzeichnissen wir ~/.gpg wenn ich mich richtig erinner gibt es dort und auch beim ~./ssh Restriktionen da war definitiv kein 7er dabei evt. 600 bin mir aber nicht sicher. Du würdest also folgendes machen? chmod -R 700 /home/<user>/* Was ist mit der umsak oder liege ich da ganz falsch? Ich hätte vermutet dass ich die ändern muss. Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael, Montag, 11. August 2008 09:06:
Nein. Ein 'chmod 700 /home/user' sollte reichen.
700 = lesen+schreiben+ausführen für den user und nix für gruppe und nix für alle.
Nur der eigentümer kann ausführen. sonst keiner.
Vielen Dank das ist ja klar, aber will ich wirklich eine readme Datei ausführbar machen? Auch wenn sie nur für mich ausführbar ist? Und was ist mir Verzeichnissen wir ~/.gpg wenn ich mich richtig erinner gibt es dort und auch beim ~./ssh Restriktionen da war definitiv kein 7er dabei evt. 600 bin mir aber nicht sicher.
Du würdest also folgendes machen? chmod -R 700 /home/<user>/*
Nicht chmod -R 700, sondern nur chmod 700... Damit können andere Benutzer nicht mehr in das Home-Verzeichnis hineinwechseln. Welche Rechte dann die Dateien haben, die im Home-Verzeichnis liegen, spielt keine Rolle. Also vergiß umask usw, und mach einfach ein chmod 700 /home/user, und fertig. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 11. August 2008 09:06:24 schrieb Michael: in Antwort auf David Haller und Sebastian Gödecke:
Nein. Ein 'chmod 700 /home/user' sollte reichen.
700 = lesen+schreiben+ausführen für den user und nix für gruppe und nix für alle.
Nur der eigentümer kann ausführen. sonst keiner.
Vielen Dank das ist ja klar, aber will ich wirklich eine readme Datei ausführbar machen? ......
Du würdest also folgendes machen? chmod -R 700 /home/<user>/*
Nein, ganau nicht. Das siehst Du zu kompliziert. Mach es so, wie David Haller schrieb: 'chmod 700 /home/user', ohne '-R'. Das '-R' ist nicht nötig. Beispiel von meinem Rechner hier: 'chmod 700 /home/peter' führt dazu, daß kein anderer User '/home/peter' öffnen kann oder auch irgend ein anderes Verzeichnis oder Datei unterhalb '/home/peter' anzeigen, ausführen oder was auch immer, kann. Alles andere in /home/peter bleibt unverändert und funktioniert weiterhin. Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mon, 11 Aug 2008, Michael schrieb:
Am Mo, 11.08.2008, 03:40, schrieb David Haller:
Am Son, 10 Aug 2008, Michael schrieb:
On Sonntag, 10. August 2008, Oliver Zimmermann wrote:
Du könntest die eigentlichen user-Verzeichnisse in /home/ nur mit Rechten für den Eigentümer ausstatten. Das dürfte wohl Deiner Absicht entsprechen, oder? Ja aber.. ich muss die umask änder [..]
Nein. Ein 'chmod 700 /home/user' sollte reichen.
Aber werden dann neue Dateien nicht wieder mit der umask des systems / users angelegt bei der Suse 10.2 also wieder mit Berechtigungen für die Gruppe?
Nein.
Ausserdem bekommen dann ja alle Dateien die Ausführbarkeit - macht das Sinn? Sorry das ist fachlich nicht persönlich gemeint.
Quark. Wenn andere Benutzer /home/user nicht lesen und "ausführen" (betreten) dürfen, dann ist es egal, welche Rechte die Dateien unterhalb haben. Für einen Zugriff auf eine Datei irgendwo unterhalb von einem Verzeichnis braucht man mindestens das x-bit auf allen Verzeichnisen im Pfad zur Datei. Leserechte auf den Verzeichnissen braucht man nicht, muß aber den Dateinamen kennen. Und wie andere schon schrieben: 'chmod 700 /home/user' _OHNE_ -R oder sonstige Optionen. Probiere es einfach mal aus: # mkdir -p /tmp/foo-root/bar # echo 'Hallo' > /tmp/foo-root/bar/baz # chmod 700 /tmp/foo-root/ # chmod 755 /tmp/foo-root/bar # chmod 644 /tmp/foo-root/bar/baz # find /tmp/foo-root/ -ls drwx------ 3 root root 4096 /tmp/foo-root/ drwxr-xr-x 2 root root 4096 /tmp/foo-root/bar -rw-r--r-- 1 root root 6 /tmp/foo-root/bar/baz [Inodes/Datum entfernt, da irrelevant] Jetzt als user: $ ls /tmp/foo-root/ ls: /tmp/foo-root/: Permission denied $ ls /tmp/foo-root/bar/ ls: /tmp/foo-root/bar/: Permission denied $ cat /tmp/foo-root/bar/baz cat: /tmp/foo-root/bar/baz: Permission denied # chmod 701 /tmp/foo-root/ $ ls /tmp/foo-root/ ls: /tmp/foo-root/: Permission denied $ ls /tmp/foo-root/bar/ baz $ cat /tmp/foo-root/bar/baz Hallo # chmod 701 /tmp/foo-root/bar/ $ ls /tmp/foo-root/bar/ ls: /tmp/foo-root/bar/: Permission denied $ cat /tmp/foo-root/bar/baz Hallo Bitte nachvollziehen... Und die empfohlene Dokumentation lesen.
Was evtl. sinnvoll sein kann ist, jeden User in eine eigene Gruppe zu stecken, das machen einige Distributionen so (Debian?). Die ~ gehören dann jew. zu dieser (ein-User) Gruppe. Die user sind dann zusätzlich noch in der Gruppe users. Hm, was bringt mir der Unterschied?
Andere user können bei passender umask nicht per Default deine Dateien lesen. -dnh -- 152: PORN Poster Ohne Richtigen Namen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Andre Tann -
David Haller -
Michael -
Oliver Zimmermann -
Peter Kagermeier -
Sebastian Gödecke