Hallo, mir ist gerade aufgefallen, dass /usr/bin/crontab bei Suse 8.2 nicht mehr durch normale Benutzer ausgeführt weden kann (jedenfalls bei mir nicht -- und ich habe eigentlich nichts geändert), sondern nur von root und der (leeren) Gruppe trusted. Frage: 1. Warum ist das so? Mich in die Gruppe trusted einzutragen ist ja kein Problem, aber warum schließt man die normalen Benutzer standardmäßig aus? Gruß Thomas
Thomas Pries <pries@informatik.uni-halle.de> writes:
Hallo,
mir ist gerade aufgefallen, dass /usr/bin/crontab bei Suse 8.2 nicht mehr durch normale Benutzer ausgeführt weden kann (jedenfalls bei mir nicht -- und ich habe eigentlich nichts geändert), sondern nur von root und der (leeren) Gruppe trusted. Frage:
1. Warum ist das so?
Mich in die Gruppe trusted einzutragen ist ja kein Problem, aber warum schließt man die normalen Benutzer standardmäßig aus?
Was hindert dich, als User, crontab -e aufzurufen und deine eigene crontab zu erstellen? -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Am Dienstag, 3. Februar 2004 17:04 schrieb Dieter Kluenter:
Thomas Pries <pries@informatik.uni-halle.de> writes:
Hallo,
mir ist gerade aufgefallen, dass /usr/bin/crontab bei Suse 8.2 nicht mehr durch normale Benutzer ausgeführt weden kann (jedenfalls bei mir nicht -- und ich habe eigentlich nichts geändert), sondern nur von root und der (leeren) Gruppe trusted. Frage:
1. Warum ist das so?
Mich in die Gruppe trusted einzutragen ist ja kein Problem, aber warum schließt man die normalen Benutzer standardmäßig aus?
Was hindert dich, als User, crontab -e aufzurufen und deine eigene crontab zu erstellen?
Die Ausführungsrechte von /usr/bin/crontab (s. o.)? Jan
Am Dienstag, 3. Februar 2004 18:04 schrieb Jan Trippler:
Am Dienstag, 3. Februar 2004 17:04 schrieb Dieter Kluenter:
Thomas Pries <pries@informatik.uni-halle.de> writes: [...] Was hindert dich, als User, crontab -e aufzurufen und deine eigene crontab zu erstellen?
Die Ausführungsrechte von /usr/bin/crontab (s. o.)?
Eher nicht dieter@orange:~> ls -l /usr/bin/crontab -rwsr-xr-x 1 root root 22812 2003-09-23 18:51 /usr/bin/ crontab -Dieter -- Dieter Klünter | Systemberatung Tel.: +49.40.64861967 Fax : +49.40.64891521 http://www.avci.de
Am Dienstag, 3. Februar 2004 19:57 schrieb Dieter Kluenter:
Am Dienstag, 3. Februar 2004 18:04 schrieb Jan Trippler:
Am Dienstag, 3. Februar 2004 17:04 schrieb Dieter Kluenter:
Thomas Pries <pries@informatik.uni-halle.de> writes:
[...]
Was hindert dich, als User, crontab -e aufzurufen und deine eigene crontab zu erstellen?
Die Ausführungsrechte von /usr/bin/crontab (s. o.)?
Eher nicht
dieter@orange:~> ls -l /usr/bin/crontab -rwsr-xr-x 1 root root 22812 2003-09-23 18:51 /usr/bin/ crontab
So siehts bei mir auch aus - nur der Originalposter hat wohl andere Rechte - das hat er zumindest geschrieben (*/usr/bin/crontab kann nur durch User der Gruppe *trusted* ausgeführt werden*). Das stand so ungefähr im Originalposting und darauf hatte ich mich bezogen - und das brachte mich auf die Idee mit dem Security Level von SuSE. Jan
Hallo, Am Dienstag, 3. Februar 2004 17:04 schrieb Dieter Kluenter:
Was hindert dich, als User, crontab -e aufzurufen und deine eigene crontab zu erstellen?
bei mir sehen die Rechte von crontab standartmäßig so aus aus: -rwsr-x--- 1 root trusted 23032 2003-03-14 01:15 /usr/bin/crontab deswegen frage ich ja. Gruß Thomas
Am Dienstag, 3. Februar 2004 13:48 schrieb Thomas Pries:
Hallo,
mir ist gerade aufgefallen, dass /usr/bin/crontab bei Suse 8.2 nicht mehr durch normale Benutzer ausgeführt weden kann (jedenfalls bei mir nicht -- und ich habe eigentlich nichts geändert), sondern nur von root und der (leeren) Gruppe trusted. Frage:
1. Warum ist das so?
Mich in die Gruppe trusted einzutragen ist ja kein Problem, aber warum schließt man die normalen Benutzer standardmäßig aus?
Kann an Deinem Security-Level liegen. Schau mal in /etc/sysconfig/security. Jan P.S.: Was ist 2.? ;-)
Hallo, Am Dienstag, 3. Februar 2004 18:06 schrieb Jan Trippler:
Kann an Deinem Security-Level liegen. Schau mal in /etc/sysconfig/security.
das ist des Rätsels Lösung, stellt man das Security-Level auf Home-Workstation haben auch die "Anderen" Ausführungsrechte. Danke für den Tip. Gruß Thomas
*** Thomas Pries (pries@informatik.uni-halle.de) schrieb heute in suse-linux:
Hallo,
Ave. Bitte nicht mehr als 74 Zeichen pro Zeile schreiben. Danke.
[... Nur "root" und User in der Gruppe "trusted" ...] [... können "crontab" ausführen. ...] Frage:
1. Warum ist das so?
Weil nicht alle User crontabs haben können sollen?
Mich in die Gruppe trusted einzutragen ist ja kein Problem, aber warum schließt man die normalen Benutzer standardmäßig aus?
Der Begriff "normale User" ist hier ja nur die Unterscheidung zwischen Usern, die es dürfen und solchen, die es eben nicht dürfen. Es ist schlicht ein Mechanismus, der es ermöglichen soll, zu regulieren, wer crontabs verwenden können soll. Die Beschränkung ist nach dem Prinzip der "minimalen Rechte" durchaus sinnvoll. Crontab ist schliesslich ein Dienst, den nicht jeder braucht und den wenige nutzen. Also, warum den Usern diese "Tür" unnötig offenlassen? Außerdem: Was hät Dich davon ab, "crontab" wieder der Gruppe "users" zu geben und/oder Ausführungsrechte für alle zu verpassen!? MfG Henning Hucke -- Wer mir ungefragt Werbemüll an die private Mailadresse schickt, erklärt sich mit der Zusendung der X11-Sourcen via FTP-Mail und einer Entschädigungszahlung an mich einverstanden. Die Zustimmung gilt mit der Absendung der email an mich als erteilt. (c) unbekannt
Am Dienstag, 3. Februar 2004 18:23 schrieb Henning Hucke:
*** Thomas Pries (pries@informatik.uni-halle.de) schrieb heute in suse-linux: [...]
[... Nur "root" und User in der Gruppe "trusted" ...] [... können "crontab" ausführen. ...] Frage:
1. Warum ist das so?
Weil nicht alle User crontabs haben können sollen?
Sowas wird aber standardmäßig in cron/allow und cron/deny geregelt. man 1 crontab Der einzige Grund, der für mich plausibel ist, sind die security-level-Einstellungen in SuSE. [...]
Außerdem: Was hät Dich davon ab, "crontab" wieder der Gruppe "users" zu geben und/oder Ausführungsrechte für alle zu verpassen!?
evtl. der nächste SuSEconfig-Lauf? Jan
*** Jan Trippler (Jan.Trippler@t-online.de) schrieb am Feb 3, 2004 in...:
[...]
1. Warum ist das so?
Weil nicht alle User crontabs haben können sollen?
Sowas wird aber standardmäßig in cron/allow und cron/deny geregelt. man 1 crontab
Das ist der Mechanismus, den crontab selber anbietet. Aus Sicht der Sicherheit ist es aber besser, dass Programm kann garnicht erst ausgeführt werden, alsdass es selber auswändig entscheiden muß, ob der entsprechende User denn nun das tun darf, was er versucht zu tun.
[...]
Außerdem: Was hät Dich davon ab, "crontab" wieder der Gruppe "users" zu geben und/oder Ausführungsrechte für alle zu verpassen!?
evtl. der nächste SuSEconfig-Lauf?
Das geschreibene auszuführen, *beinhaltet* die Anpassung entsprechender "Kontrolldaten". MfG Henning Hucke -- Keine Ahnung, was "KISS" oder "RTFM" heisst? Installiere das SuSE-Packet "bsdgames" und verwende den Befehl "wtf" (see "man wtf"). special suse-linux fortune
Am Mittwoch, 4. Februar 2004 09:25 schrieb Henning Hucke:
*** Jan Trippler (Jan.Trippler@t-online.de) schrieb am Feb 3, 2004 [Recht, crontab auszuführen]
Sowas wird aber standardmäßig in cron/allow und cron/deny geregelt. man 1 crontab
Das ist der Mechanismus, den crontab selber anbietet. Aus Sicht der Sicherheit ist es aber besser, dass Programm kann garnicht erst ausgeführt werden, alsdass es selber auswändig entscheiden muß, ob der entsprechende User denn nun das tun darf, was er versucht zu tun.
Genau das ist aber der Mechanismus, der in Unix Usus ist - nimm mount, ssh, ftp, sudo ... Der Weg über die Zugriffsrechte des Programms ist IMHO ziemlich grobschlächtig, weil er ausschließlich über Gruppenzugehörigkeiten steuert. Ich weiss ehrlich gesagt nicht, was nun aufwändiger und unbequemer ist - ständig Gruppenzugehörigkeiten anpassen zu müssen oder sich auf die Konfigurationsmöglichkeiten der einzelnen Programme zu stürzen. Es geht ja nicht nur um crontab. Ich für meinen Teil (man beachte: IMHO-Modus) würde mit den Security-Levels nur dann spielen, wenn es um die grundsäzliche Richtung geht - Router, Server, Workstation - und den Rest mache ich über die vorgesehenen Konfigurationen der Programme. Das empfinde ich als übersichtlicher.
Außerdem: Was hät Dich davon ab, "crontab" wieder der Gruppe "users" zu geben und/oder Ausführungsrechte für alle zu verpassen!?
evtl. der nächste SuSEconfig-Lauf?
Das geschreibene auszuführen, *beinhaltet* die Anpassung entsprechender "Kontrolldaten".
s. o. - das ist für mich kein sauberer und übersichtlicher Weg - heute cron, morgen vielleicht mount, ... Jan
Hallo, Am Dienstag, 3. Februar 2004 18:23 schrieb Henning Hucke:
Bitte nicht mehr als 74 Zeichen pro Zeile schreiben.
eigentlich habe ich in meinem KMail den Zeilenumbruch nach 60 Zeichen eingestellt warum das nicht funktioniert weiss ich im Moment auch nicht (die eine Mail noch, dann sehe ich mal nach)
Weil nicht alle User crontabs haben können sollen?
Gut, das ist bei der Rechtevergabe offensichtlich (selbst für mich).
Der Begriff "normale User"
bezieht sich hier natürlich auf Benutzer, die nicht root sind und nicht der Gruppe trusted angehören (also "die Anderen").
Die Beschränkung ist nach dem Prinzip der "minimalen Rechte" durchaus sinnvoll.
Ich habe ja nicht den Sinn diese Rechtevergabe angezweifelt, der Sinn war mir nur nicht klar. Mit dem Hinweis auf "minimale Rechte" ist mir schon geholfen.
Außerdem: Was hät Dich davon ab, "crontab" wieder der Gruppe "users" zu geben und/oder Ausführungsrechte für alle zu verpassen!?
Davon hält mich ab, das unter Linux normalerweise alles einen guten Grund hat und ich nicht leichtfertig die Überlegungen desjenigen über Bord wefen wollte, der die Rechte so gesetzt hat wie er sie gesetzt hat. Gruß Thomas
participants (4)
-
Dieter Kluenter -
Henning Hucke -
Jan.Trippler@t-online.de -
Thomas Pries