Re: chown / chgrp als normaler user [Was: chown in NFS-Verzeichnis]
david.fuhr@web.de wrote:
Am Montag, 26. Juli 2004 12:59 schrieb Ralf Schneider:
[...]
chown sagt mir immer: chown: Ändern des Eigentümers von „test.xls“: Die Operation ist nicht erlaubt
Ein chgrp funktioniert übrigens. Kann mir jemand einen Tip geben, woran das liegen könnte?
Ich habe Dein Quoting mal korrigiert, OK?
Das liegt nicht am NFS. Das tritt lokal genauso auf. Wenn als normaler User versucht wird eine Datei mit chown zu "verschenken" kommt die Meldung:
@Ralf: Wenn es gehen würde, könnte Linux, was die security angeht, dicht machen, oder? Überleg mal: Wenn Du als User ein Programm schreibst und kannst danach dieses Programm mittels chown einem anderen User "schenken", dann liefe dieses Programm auch mit den Rechten des anderen Users (die sich von Deinen durchaus unterscheiden können!) Das ist nicht das, was man will. Der chown geht in einem normalen Unix System _nur_ als root und das aus gutem Grund! Der chgrp erlaubt dem normalen auch _nur_ das Ändern auf eine Gruppe der der User angehört. Alles andere: s.o. Fazit: Works as designed and should NOT be changed Andreas
Am Dienstag, 27. Juli 2004 12:58 schrieb Kyek, Andreas, VF-DE:
Wenn es gehen würde, könnte Linux, was die security angeht, dicht machen, oder? Überleg mal: Wenn Du als User ein Programm schreibst und kannst danach dieses Programm mittels chown einem anderen User "schenken", dann liefe dieses Programm auch mit den Rechten des anderen Users (die sich von Deinen durchaus unterscheiden können!)
nein! ansonsten hättest Du ein Problem, dass in /bin oder /usr/bin oder... alle Programme root gehören... und die laufen _ohne_ setuid-Bit nicht als root. Als Sicherheit wird aus dem Grund bei einem chown AFAIR auch das suid-Bit gelöscht! Aber als Argument gegen ein CHOWN als User sind z.B. Quotas zu nennen Andreas
Kyek, Andreas, VF-DE wrote:
[...] Wenn es gehen würde, könnte Linux, was die security angeht, dicht machen, oder? Überleg mal: Wenn Du als User ein Programm schreibst und kannst danach dieses Programm mittels chown einem anderen User "schenken", dann liefe dieses Programm auch mit den Rechten des anderen Users (die sich von Deinen durchaus unterscheiden können!)
Huch? (tm) Natuerlich ist es gut, dass nicht jeder einfach nach Belieben einem User gewisse Dateien "unterschieben" kann, das koennte zu grossen Problemen fuehren (mag sich jetzt jeder selbst ausdenken, welche Dateien man einem User unterschieben koennte, um zumindest dessen Ruf zu ruinieren oder noch schlimmeres anzuzetteln). Aber Deine Schlussfolgerung ist falsch. Damit ein Programm als der User ausgefuehrt wird, dem das Programm gehoert, muss es das SUID-Bit (set user id on execution) tragen. Ansonsten wird es "im Namen" des aufrufenden Users gestartet, sofern er ueberhaupt die Rechte dazu hat. CU, Th.
participants (3)
-
Andreas Loesch -
Kyek, Andreas, VF-DE -
Thomas Hertweck