Hallo, ich arbeite gerade mal wieder an einem processor für monmoin (http:// sourceforge.net/projects/moin/). Dieser Processor ermöglicht es eine Programmiersprache zu benutzen für die graphische Darstellung von Daten. Die Sprache kann noch vielmehr. Auf dem server möchte ich das Script so ausführen das der server nicht beschädigt werden kann. Mit UML bin ich schon vertraut und habe das für diese Aufgabe schon verwendet. Das ist mir nur nicht schnell genug. Momentan überlege ich ob es nicht ausreicht einen user anzulegen, der quasi nichts kann ausser dieses script auszuführen. Gibt es die Möglichkeit einzustellen wer "su" ausführen darf ? und welche Sicherheitsprobleme handele ich mir damit ein? Reimar -- Forschungszentrum Juelich email: R.Bauer@fz-juelich.de http://www.fz-juelich.de/icg/icg-i/ ================================================================== a IDL library at ForschungsZentrum Juelich http://www.fz-juelich.de/icg/icg-i/idl_icglib/idl_lib_intro.html
Hallo Reimar, Am Samstag, 10. April 2004 12:15 schrieb Reimar Bauer:
Hallo,
ich arbeite gerade mal wieder an einem processor für monmoin (http:// sourceforge.net/projects/moin/).
Dieser Processor ermöglicht es eine Programmiersprache zu benutzen für die graphische Darstellung von Daten. Die Sprache kann noch vielmehr.
Auf dem server möchte ich das Script so ausführen das der server nicht beschädigt werden kann. Mit UML bin ich schon vertraut und habe das für diese Aufgabe schon verwendet. Das ist mir nur nicht schnell genug.
Momentan überlege ich ob es nicht ausreicht einen user anzulegen, der quasi nichts kann ausser dieses script auszuführen.
Gibt es die Möglichkeit einzustellen wer "su" ausführen darf ? und welche Sicherheitsprobleme handele ich mir damit ein?
Ich bin mir da jetzt nicht so sicher, aber kaputt machen, kannst du damit sicherlich nichts: bei mir findet sich su in /bin und hat die Rechte: rwxr.xr.x root:root. Wenn du nun mit chmod o-rx /bin /su die Rechte zum Ausführen den others wegnimmst, sollte keiner mehr diese Programm ausführen können, außer root. Dann kannst du ja eine Gruppe mit Namen su (oder wie auch immer) erstellen. und mit chgrp su /bin/su die dem s/bin/su zugehörige Gruppe ändern. Nun sollte die Zeile im ls so aussehen: -rwsr-x--- 1 root su 21112 2003-09-23 19:51 su* Nun fügt du zu jedem User, der diese Datei ausführen dürfen, die Gruppe su hinzu. Wie gesagt, ich bin mir nicht sicher, ob das so klappt, sollte aber... Gruß Christian
Reimar
Hallo Reimar, hallo Leute, Am Samstag, 10. April 2004 12:15 schrieb Reimar Bauer: [...]
Auf dem server möchte ich das Script so ausführen das der server nicht beschädigt werden kann. Mit UML bin ich schon vertraut und habe das für diese Aufgabe schon verwendet. Das ist mir nur nicht schnell genug.
Momentan überlege ich ob es nicht ausreicht einen user anzulegen, der quasi nichts kann ausser dieses script auszuführen.
Wenn Du einen eigenen User anlegst, bist Du im Prinzip auf der sicheren Seite. Naja, er könnte /tmp zumüllen oder so [1]. Aber am System kann er nichts ändern, nur in seinem Homeverzeichnis. Und auch dort nur, soweit er Schreibrechte hat. (chown -R root ~darfnix/ - und schon ist auch das vorbei ;-)
Gibt es die Möglichkeit einzustellen wer "su" ausführen darf ? und welche Sicherheitsprobleme handele ich mir damit ein?
Ausführen darf es jeder, der Lese- und Ausführungsrechte an der Datei hat. Wie man die limitieren könnte, hat Dir ja mein Namensvetter schon geschrieben. Allerdings braucht man beim Ausführen von su auch immer das zugehörige Passwort (es sei denn, man ist root). Sicherheitsprobleme handelst Du Dir garantiert keine ein, wenn Du das Ausführen von su für bestimmte Benutzer(gruppen) sperrst. Gruß Christian Boltz [1] Und sogar das lässt sich vermeiden: Den User in die (anzulegende) Gruppe "notmp" aufnehmen und dann chgrp notmp /tmp ; chmod g-rwx /tmp ausführen, um die Mitglieder der Gruppe "notmp" auszusperren. --
Ich hab da nochma ne Frage! :o) Was is eigentlich en DAU? Ich mein ihr sagt mir zwar die ganze Zeit das ich das bin, aber was das is wes ich ni! *heul* Ich rate ganz einfach ma!;o) Die Allercoolste Userin? Isses das? Ohhh danke danke! Du solltest doch nicht so viele von diesen bunten Pillen auf einmal schlucken... ["Mickimausi" und Axel Woelke in dag°]
Hallo Christian, Am Samstag, 10. April 2004 22:59 schrieb Christian Boltz:
Hallo Reimar, hallo Leute,
Am Samstag, 10. April 2004 12:15 schrieb Reimar Bauer: [...]
Auf dem server möchte ich das Script so ausführen das der server nicht beschädigt werden kann. Mit UML bin ich schon vertraut und habe das für diese Aufgabe schon verwendet. Das ist mir nur nicht schnell genug. ..... Ausführen darf es jeder, der Lese- und Ausführungsrechte an der Datei hat. Wie man die limitieren könnte, hat Dir ja mein Namensvetter schon geschrieben. Allerdings braucht man beim Ausführen von su auch immer das zugehörige Passwort (es sei denn, man ist root).
Oder man löscht das Passwort in /etc/shadow. Danke für die Hilfen, schöne Ostertage Reimar
Sicherheitsprobleme handelst Du Dir garantiert keine ein, wenn Du das Ausführen von su für bestimmte Benutzer(gruppen) sperrst.
Gruß
Christian Boltz
-- Forschungszentrum Juelich email: R.Bauer@fz-juelich.de http://www.fz-juelich.de/icg/icg-i/ ================================================================== a IDL library at ForschungsZentrum Juelich http://www.fz-juelich.de/icg/icg-i/idl_icglib/idl_lib_intro.html
participants (3)
-
Christian Boltz
-
Christian Panten
-
Reimar Bauer