das absichern von privaten verzeichnissen
Hallo erstmal. Ich bin ein absoluter linux neuling, aber was man nicht weiß kann man lernen :) ich habe volgendes problem. Ich habe Suse 8.2 und soweit rennt alles zufrieden stellend nur eine kleinigkeit verursacht mir kopfschmerzen. wenn ich einem kollegen eine shh shell gebe kann er in alle verzeichnisse schauen und rum schnüffeln. quotas habe ich schon ausprobiert allerdings scheitert das an meiner raiserfs. gibt es eine möglichkeit verzeichnisse so abzusichern das man nur als benutzer oder root darauf zugreifen kann ? ich danke schon mal im vorraus mfg Andi
Hall Kermit, Kermit schrieb:
Hallo erstmal.
Ich bin ein absoluter linux neuling, aber was man nicht weiß kann man lernen :) ich habe volgendes problem. Ich habe Suse 8.2 und soweit rennt alles zufrieden stellend nur eine kleinigkeit verursacht mir kopfschmerzen. wenn ich einem kollegen eine shh shell gebe kann er in alle verzeichnisse schauen und rum schnüffeln. quotas habe ich schon ausprobiert allerdings scheitert das an meiner raiserfs. gibt es eine möglichkeit verzeichnisse so abzusichern das man nur als benutzer oder root darauf zugreifen kann ?
Hier ist die Anleitung, um SSH in einer chroot-Umgebung laufen zu lassen: http://ulf.zeitform.de/sshchroot/index.de.html Viel Spass damit! Marc PS: Wie gehts denn Miss Piggy? -- FH Furtwangen: http://www.psychology4u.de/cn/ Linux- und Netzwerkberatung: http://www.teamberatung.org Marc Mc Guinness: http://www.mcguinness.de PGP Public Key Block: http://mcguinness.psychology4u.de/public.txt
On Friday 29 August 2003 10:36, Kermit wrote:
Hallo erstmal.
Ich bin ein absoluter linux neuling, aber was man nicht weiß kann man lernen
:) ich habe volgendes problem. Ich habe Suse 8.2 und soweit rennt : alles
zufrieden stellend nur eine kleinigkeit verursacht mir kopfschmerzen. wenn ich einem kollegen eine shh shell gebe kann er in alle verzeichnisse schauen und rum schnüffeln. quotas habe ich schon ausprobiert allerdings scheitert das an meiner raiserfs. gibt es eine möglichkeit verzeichnisse so abzusichern das man nur als benutzer oder root darauf zugreifen kann ?
ich danke schon mal im vorraus
a) Du solltest Dir baldmöglichst eine gute Doku besorgen und durchlesen b) in Kürze: "normales" Unix ohne ACL kennt die Dir vielleicht schon bekannten Rechtemasken, die du bei ls -l angezeigt bekommst. -rwxr-xr-x drwxrwxrwx das erste rwx steht für den Owner, das zweite für die Gruppe und das dritte für den Rest der Welt. Wenn Du ein Verzeichnis für jemanden unzugänglich machen willst, must Du ihm das "x"-bit wegnehmen. Bsp: Dein Homeverzeichnis gehört user x, guppe users. Dein Kollege ist user y Gruppe users. Hat Dein Home die Rechte für User und Gruppe "rwx rwx" oder "rwx r-x" darf y immer (über die Gruppenrechte) rein. Im zweiten Fall hat er kein Recht an Directory-Operationen (Datei erstellen und löschen) kann aber evtl. Dateien verändern Willst Du ihn aussperren, must Du der Gruppe das "x" bit am directory wegnehmen; also Rechte für Directory= rwxr----- oder rwx------. alles weiter: Doku lesen. Andreas PS: ändern der Rechte mit chmod. siehe auch "man chmod" oder "info chmod"
Kermit wrote:
Hallo erstmal.
Ich bin ein absoluter linux neuling, aber was man nicht weiß kann man lernen :) ich habe volgendes problem. Ich habe Suse 8.2 und soweit rennt alles zufrieden stellend nur eine kleinigkeit verursacht mir kopfschmerzen. wenn ich einem kollegen eine shh shell gebe kann er in alle verzeichnisse schauen und rum schnüffeln. quotas habe ich schon ausprobiert allerdings scheitert das an meiner raiserfs. gibt es eine möglichkeit verzeichnisse so abzusichern das man nur als benutzer oder root darauf zugreifen kann ?
ich danke schon mal im vorraus
mfg
Andi
Hiho, zu deinem problem mit den quota's und reiserfs gibs einen artikel bei suse http://sdb.suse.de/de/sdb/html/rschmid_quota2.html das sollte helfen, bei mir laeufts prima. ansonsten musst du nur die lese/schreibrechte richtig setzen (chmod 600 /verzeichnis # optional -R) schau dir mal man chmod / man chown / man chgrp an das sollte weiterhelfen bzw. ssh chrooted laufen lassen. cya -- ---------------------------------------- Markus Heinze Internet: http://www.existand.de E-Mail : M.Heinze@existand.de Telephon: 03464/569787 Fax : 03464/569786 ----------------------------------------
Hi *, Am Freitag August 29 2003 10:36 schrieb Kermit:
gibt es eine möglichkeit verzeichnisse so abzusichern das man nur als benutzer oder root darauf zugreifen kann ?
Ich stecke jeden meiner Nutzer in eine eigene Gruppe, die der Übersichtlichkeit wegen auch noch so heißt wie der Nutzer selber. Du legst erst die Gruppe an - YaST macht das schon. Dann legst Du den User an und wählst hier die für ihn die Gruppe aus, die Du vorher erzeugt hast. Wenn Du dann noch den umask-Wert in der in der ~/.bashrc auf 077 umänderst, haben andere Benutzer außer root keine Möglichkeit mehr, zu spionieren. Die Rechte des von YaST angelegten Homeverzeichnisses mußt Du auch noch dementsprechend umstellen (entweder mit Konqueror, ankreuzen, Rechteänderung auch auf den Verzeichnisbaum ausdehnen, oder mit chmod -R 700). Viel Spaß damit, Helga Achja... sei so gut, trage Deinen Realnamen in die From:-Zeile ein. Danke. -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Offene Jobs -- http://www.eschkitai.de/openoffice/jobs.html
On Son, 31 Aug 2003 at 21:31 (+0200), Helga Fischer wrote:
Hi *,
Am Freitag August 29 2003 10:36 schrieb Kermit:
gibt es eine möglichkeit verzeichnisse so abzusichern das man nur als benutzer oder root darauf zugreifen kann ?
Ich stecke jeden meiner Nutzer in eine eigene Gruppe, die der Übersichtlichkeit wegen auch noch so heißt wie der Nutzer selber. [...]
Hm, Debian macht das defaultmäßig so und ich muss sagen - das war das erste, was ich geändert habe. Was soll eine Gruppe, wenn sie die gleiche Funktion wie der User erfüllt? Eine Absicherung der Home-Verzeichnisse ist doch auch so möglich: umask 077 begrenzt doch eh die Rechte für neue Dateien auf den User, wieso muss ich ihn dann noch gruppenmäßig kastrieren? Damit handele ich mir doch wieder nur Mehraufwand ein, wenn ich mal Gruppen-Verzeichnisse einrichten will. Jan
Hi Jan, Am Sonntag August 31 2003 22:42 schrieb Jan Trippler:
On Son, 31 Aug 2003 at 21:31 (+0200), Helga Fischer wrote:
Ich stecke jeden meiner Nutzer in eine eigene Gruppe, die der Übersichtlichkeit wegen auch noch so heißt wie der Nutzer selber.
[...]
Hm, Debian macht das defaultmäßig so und ich muss sagen - das war das erste, was ich geändert habe. Was soll eine Gruppe, wenn sie die gleiche Funktion wie der User erfüllt? Eine Absicherung der Home-Verzeichnisse ist doch auch so möglich: umask 077 begrenzt doch eh die Rechte für neue Dateien auf den User, wieso muss ich ihn dann noch gruppenmäßig kastrieren?
Da hast Du schon recht, es ist doppelt gemoppelt - das ist mir nach dem Schreiben der Mail auch aufgefallen. Jetzt kann jeder wählen, wie er es handhaben möchte. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Offene Jobs -- http://www.eschkitai.de/openoffice/jobs.html
Helga Fischer am Montag, 1. September 2003 01:04:
Hi Jan,
Am Sonntag August 31 2003 22:42 schrieb Jan Trippler:
On Son, 31 Aug 2003 at 21:31 (+0200), Helga Fischer wrote:
Ich stecke jeden meiner Nutzer in eine eigene Gruppe, die der Übersichtlichkeit wegen auch noch so heißt wie der Nutzer selber.
[...]
Hm, Debian macht das defaultmäßig so und ich muss sagen - das war das erste, was ich geändert habe. Was soll eine Gruppe, wenn sie die gleiche Funktion wie der User erfüllt? Eine Absicherung der Home-Verzeichnisse ist doch auch so möglich: umask 077 begrenzt doch eh die Rechte für neue Dateien auf den User, wieso muss ich ihn dann noch gruppenmäßig kastrieren?
Da hast Du schon recht, es ist doppelt gemoppelt - das ist mir nach dem Schreiben der Mail auch aufgefallen.
Es hat u.U. schon seine Vorteile, jeden User in seine eigene Gruppe zu stecken. So kann man sehr übersichtlich organisieren, welche Daten ein User anderen zugänglich machen will (die bekommen auch entsprechende Gruppenrechte) und welche User darauf zugreifen dürfen (die werden mit in die Gruppe des jeweiligen Users aufgenommen). Gut, es gibt auch andere Möglichkeiten. Aber gerade in kleinen Netzen (max. 10 - 20 User) finde ich dies relativ übersichtlich. -- Gruß MaxX 8-)
On Mon, 01 Sep 2003 at 07:31 (+0200), Matthias Houdek wrote: [...]
Es hat u.U. schon seine Vorteile, jeden User in seine eigene Gruppe zu stecken. So kann man sehr übersichtlich organisieren, welche Daten ein User anderen zugänglich machen will (die bekommen auch entsprechende Gruppenrechte) und welche User darauf zugreifen dürfen (die werden mit in die Gruppe des jeweiligen Users aufgenommen).
Was ist daran übersichtlich? Wenn ich Dateien nur selber sehen will, reicht ein chmod 700 - da ist kein Unterschied zu Usern der gleichen oder anderer Gruppen. Wenn andere User sie sehen sollen: chmod 750 - fertig. In Deiner Variante muss ich erst mit Gruppenzugehörigkeiten jonglieren, das finde ich viel umständlicher. Nochmal: Welchen Sinn hat eine Benutzergruppe, wenn sie die gleichen Rechte und Funktionen abbildet wie der Benutzer? Jan
Jan Trippler am Dienstag, 2. September 2003 00:56:
On Mon, 01 Sep 2003 at 07:31 (+0200), Matthias Houdek wrote: [...]
Es hat u.U. schon seine Vorteile, jeden User in seine eigene Gruppe zu stecken. So kann man sehr übersichtlich organisieren, welche Daten ein User anderen zugänglich machen will (die bekommen auch entsprechende Gruppenrechte) und welche User darauf zugreifen dürfen (die werden mit in die Gruppe des jeweiligen Users aufgenommen).
Was ist daran übersichtlich? Wenn ich Dateien nur selber sehen will, reicht ein chmod 700 - da ist kein Unterschied zu Usern der gleichen oder anderer Gruppen. Wenn andere User sie sehen sollen: chmod 750 - fertig. In Deiner Variante muss ich erst mit Gruppenzugehörigkeiten jonglieren, das finde ich viel umständlicher. Nochmal: Welchen Sinn hat eine Benutzergruppe, wenn sie die gleichen Rechte und Funktionen abbildet wie der Benutzer?
Wie gesagt, es macht nur Sinn bei kleinen Benutzerzahlen. Bsp: User: Tom, Tim, Ralf, Rolf, Ute und Uta Zuordnungen: User sek. Gruppe(n) ------------------------------------- Tom Tim, Rolf Tim Ralf, Ute, Uta Ralf Tim, Ute Rolf Tim, Ralf, Uta Ute Tim, Tom Uta Tom, Ralf Hier wird doch sehr schön sichtbar, wer mit chmod 07x0 freigegebene Dateien von wem lesen, schreiben oder öffenen/ausführen darf. z.B. dürfen alle außer Uta auf die Dateien von Tim, auf die von Rolf darf aber nur noch Tim usw. -- Gruß MaxX 8-)
On Die, 02 Sep 2003 at 07:33 (+0200), Matthias Houdek wrote: [eigene Gruppe / Benutzer]
Wie gesagt, es macht nur Sinn bei kleinen Benutzerzahlen.
Bsp: User: Tom, Tim, Ralf, Rolf, Ute und Uta
Zuordnungen: User sek. Gruppe(n) ------------------------------------- Tom Tim, Rolf Tim Ralf, Ute, Uta Ralf Tim, Ute Rolf Tim, Ralf, Uta Ute Tim, Tom Uta Tom, Ralf
Hier wird doch sehr schön sichtbar, wer mit chmod 07x0 freigegebene Dateien von wem lesen, schreiben oder öffenen/ausführen darf. z.B. dürfen alle außer Uta auf die Dateien von Tim, auf die von Rolf darf aber nur noch Tim usw.
Hm, IMHO etwas konstruiert - aber gut, wenn Du so komplizierte Hierarchien in der Familie hast ;) Sowas würde ich über schon über sekundäre Gruppen machen (tomsfreunde, timsfreunde, ...) - sollte dann immer noch übersichtlicher sein. Aber wie gesagt - immer abhängig vom Familienfrieden ;) Jan
Jan Trippler am Dienstag, 2. September 2003 21:18:
On Die, 02 Sep 2003 at 07:33 (+0200), Matthias Houdek wrote: [eigene Gruppe / Benutzer]
Wie gesagt, es macht nur Sinn bei kleinen Benutzerzahlen.
Bsp: User: Tom, Tim, Ralf, Rolf, Ute und Uta
Zuordnungen: User sek. Gruppe(n) ------------------------------------- Tom Tim, Rolf Tim Ralf, Ute, Uta Ralf Tim, Ute Rolf Tim, Ralf, Uta Ute Tim, Tom Uta Tom, Ralf
Hier wird doch sehr schön sichtbar, wer mit chmod 07x0 freigegebene Dateien von wem lesen, schreiben oder öffenen/ausführen darf. z.B. dürfen alle außer Uta auf die Dateien von Tim, auf die von Rolf darf aber nur noch Tim usw.
Hm, IMHO etwas konstruiert - aber gut, wenn Du so komplizierte Hierarchien in der Familie hast ;)
Sowas würde ich über schon über sekundäre Gruppen machen (tomsfreunde, timsfreunde, ...) - sollte dann immer noch übersichtlicher sein. Aber wie gesagt - immer abhängig vom Familienfrieden ;)
Sicher, es ist halt eine Frage der Anschauung. Jedes der beiden Systeme hat seine Vor- und Nachteile. Ich persönlich finde es bei kleinen Benutzerzahlen so einfacher zu händeln - vor allem, wenn sich die Beziehungen/User schnell mal ändern. Und gegenüber den Möglichkeiten der Rechtevergabe in der NDS bei Netware hat beides keine Chance. Aber dafür gibt es ja dann ACLs :-) -- Gruß MaxX 8-)
Hi Helga, die Muppetshow und den Rest der List, Helga Fischer wrote:
Hi *,
Am Freitag August 29 2003 10:36 schrieb Kermit:
gibt es eine möglichkeit verzeichnisse so abzusichern das man nur als benutzer oder root darauf zugreifen kann ?
ja, einfach chmod 700 * als root im homverzeichnis (/home) aufrufen, war mal standard, das neue User mit diesen Rechten angelegt wurden. Um diesen Standard wieder herzustellen in /etc/login.defs die Zeile UMASK 022 in UMASK 077 umschereiben. dies UMASK wird nur von den Programmen adduser und newuser benutzt. (natürlich kann nur root diese Datei editieren).
Ich stecke jeden meiner Nutzer in eine eigene Gruppe, die der Übersichtlichkeit wegen auch noch so heißt wie der Nutzer selber.
Warum? Mir entzieht sich der Sinn.
Wenn Du dann noch den umask-Wert in der in der ~/.bashrc auf 077 umänderst, haben andere Benutzer außer root keine Möglichkeit mehr, zu spionieren.
Spätestens jetzt verstehe ich gar nix mehr (Sinnmäßig).
Die Rechte des von YaST angelegten Homeverzeichnisses mußt Du auch noch dementsprechend umstellen (entweder mit Konqueror, ankreuzen, Rechteänderung auch auf den Verzeichnisbaum ausdehnen, oder mit chmod -R 700).
Warum rekrusiv? Ach und Helga wie tauscht du mit anderen usern auf deinem System Daten aus? Dürfte bei deinen Einstellungen schwer werden.
Achja... sei so gut, trage Deinen Realnamen in die From:-Zeile ein.
ACK, ich antworte nur auf Realname oder die Person ist mir unter dem (Nick-)Namen persönlich bekannt. Ohne die Fragen die ich an Helga habe, hättest du von Mir keine Antwort bekommen. cu Gerald
Hi Gerald, Am Sonntag August 31 2003 23:51 schrieb Gerald Goebel:
Hi Helga, die Muppetshow und den Rest der List,
Am Freitag August 29 2003 10:36 schrieb Kermit:
gibt es eine möglichkeit verzeichnisse so abzusichern das man nur als benutzer oder root darauf zugreifen kann ?
ja, einfach chmod 700 * als root im homverzeichnis (/home) aufrufen, war mal standard, das neue User mit diesen Rechten angelegt wurden. Um diesen Standard wieder herzustellen in
/etc/login.defs die Zeile
UMASK 022
in UMASK 077
umschereiben. dies UMASK wird nur von den Programmen adduser und newuser benutzt. (natürlich kann nur root diese Datei editieren).
Danke, die Ecke des Systems beachte ich zu wenig. Vielleicht kriege ich ja mal die Kurve.
Ich stecke jeden meiner Nutzer in eine eigene Gruppe, die der Übersichtlichkeit wegen auch noch so heißt wie der Nutzer selber.
Warum? Mir entzieht sich der Sinn.
Wenn Du dann noch den umask-Wert in der in der ~/.bashrc auf 077 umänderst, haben andere Benutzer außer root keine Möglichkeit mehr, zu spionieren.
Spätestens jetzt verstehe ich gar nix mehr (Sinnmäßig).
Du hast ja recht, da war die Mail halt schon weg. Das sind so die Überbleibsel des stückchenweisen Linux-Lernens. Irgendwann hinterfragt man das, was man sich eingerichtet hat, halt nicht mehr.
Die Rechte des von YaST angelegten Homeverzeichnisses mußt Du auch noch dementsprechend umstellen (entweder mit Konqueror, ankreuzen, Rechteänderung auch auf den Verzeichnisbaum ausdehnen, oder mit chmod -R 700).
Warum rekrusiv?
Ach und Helga wie tauscht du mit anderen usern auf deinem System Daten aus? Dürfte bei deinen Einstellungen schwer werden.
Das stimmt. Ich habe noch einen user in meiner Gruppe, da ich diesen und alle anderen aber sehr, sehr selten benötige, halten sich die Fallstricke mit Dateien austauschen in Grenzen.
Achja... sei so gut, trage Deinen Realnamen in die From:-Zeile ein.
ACK, ich antworte nur auf Realname oder die Person ist mir unter dem (Nick-)Namen persönlich bekannt. Ohne die Fragen die ich an Helga habe, hättest du von Mir keine Antwort bekommen.
Ihr wißt ja, bei ganz üblen Fällen winke ich mit 10 Kapitelchen Etikette. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Offene Jobs -- http://www.eschkitai.de/openoffice/jobs.html
participants (8)
-
Andreas Kyek
-
Gerald Goebel
-
Helga Fischer
-
Jan.Trippler@t-online.de
-
Kermit
-
Marc Mc Guinness
-
Markus Heinze
-
Matthias Houdek