-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Liste! Folgendes Problem: Ziemlich umfangreiches HTML-Projekt, an dem, sagen wir mal, 20-40 Leute mitarbeiten wollen. Diese sollen die Dateien über ftp auf den Server kopieren. Da man nun ja schlecht allen 40 vollen Zugriff auf das gesamte Projekt geben kann, teilt man sie in Gruppen ein. 1. titelseite; 3 User 2. gemuese; 6 3. obst; 7 4. fleisch; 5 5. fisch; 9 Alles funktioniert toll, man ordnet die User je einer Gruppe zu. Jetzt taucht das erste Problem auf: Jede Datei, die hinaufkopiert wurde, hat die falschen Rechte. Nun müssen sie diese immer ändern, damit 1. die anderen aus der Gruppe die Dateien auch editieren können und 2. apache das Ganze auch lesen kann. - Gibt es so etwas wie eine umask für ftp? User Z engagiert sich besonders und will nicht nur in der Gemüse-, sondern auch in der Fleisch-Abteilung mitarbeiten. Munter denkt man sich: wozu hat man /etc/group? Doch dann bemerkt man, dass alle Dateien, die von User Z im Verzeichnis fleisch erstellt wurden, trotzdem seiner primären Gruppe gemuese angehören und die Gruppenzugehörigkeit einer Datei auch nicht, soweit ich weiß, mit dem FTP-Client zu ändern ist (in diesem Fall ws-ftp). - Existiert für dieses Problem auch eine Lösung? Anmerkung: Shell-Account kommt nicht in Frage: 1. aus Sicherheitsgründen 2. (fast) keiner der User kann mit Linux umgehen Falls jemand die Sache ganz anders anginge, so freue ich mich, wenn er mir seine Meinung mitteilt. Danke im Voraus! mfG Matthias Brunner <mbrunner@blumenstrasse.vol.at> LINUX REGNET! -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 6.0 for non-commercial use <<A HREF="http://www.pgp.com"><A HREF="http://www.pgp.com</A">http://www.pgp.com</A</A>>> iQA/AwUBNk3TGGQ4rRtZvwRBEQJqHACfVxVK9tkroKmGnXIHuS2l0LQnkHYAoLPi ARMicTxoazmmRMEEKXYMB1+8 =TMxE -----END PGP SIGNATURE----- -----PGP-Key----- Typ: DH/DSS Key-Id: 0x59BF0441 Fingerprint: EA23 AC31 544F 31B2 7367 1670 6438 AD1B 59BF 0441 Please send a message with "GET PGPKEY 0x59BF0441" (without the qoutes) in the header to the address "mbrunner@blumenstrasse.vol.at" in order to get this key. -----PGP-Key----- -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Sat, 14 Nov 1998, Matthias Brunner wrote:
Problem auf: Jede Datei, die hinaufkopiert wurde, hat die falschen Rechte. Nun müssen sie diese immer ändern, damit 1. die anderen aus der Gruppe die Dateien auch editieren können und 2. apache das Ganze auch lesen kann. -
dafuer waeren die Rechte also -rwxrwxr-- fuer html-Dateien bzw. -rwxrwxr-x fuer cgi's. 7 7 4 7 7 5
Gibt es so etwas wie eine umask für ftp?
Wenn die lokal eingestellten Rechte auf dem Server veraendert werden, muss es dort ja sowas geben.
Munter denkt man sich: wozu hat man /etc/group? Doch dann bemerkt man, dass alle Dateien, die von User Z im Verzeichnis fleisch erstellt wurden, trotzdem seiner primären Gruppe
Folgende Situation nehme ich an: user A, B, C: Gruppe quark, Gruppenleiter: A user D, E, Z: Gruppe obst, Gruppenleiter: D user G, H, Z: Gruppe kaese, Gruppenleiter: G Der User Z soll allso an obst und gemuese arbeiten koennen. Primaer arbeitet er aber in der Kaesegruppe. damit ergaebe sich folgende Verzeichnisstruktur: Zugriffsrechte Eigentuemer Gruppe ./public_html/quark: drwxrwxr-x A quark 7 7 5 ./public_html/obst: drwsrwsr-t D obst 7 7 7 5 ./public_html/kaese: drwxrwxr-x G kaese 7 7 5 Legt Z jetzt eine Datei im Vrz. obst an, bleibt er zwar Eigentuemer; aber die Gruppenrechte werden (im Verz. obst und allen tieferliegenden Vrz.) auf obst gesetzt. Man kann die Rechte sicherlich weiter beschraenken, aber ich sehe in dem Punkt a) keine Notwendigkeit und b) habe ich keine Lust, darueber nachzudenken ;-)
mit dem FTP-Client zu ändern ist (in diesem Fall ws-ftp). -
Das weiss ich allerdings nicht. Mit der M$-$oftware kenn' ich mich kaum aus.
Existiert für dieses Problem auch eine Lösung?
Bestimmt.
Shell-Account kommt nicht in Frage: 1. aus Sicherheitsgründen
Die da waeren? Kann ein user unter Linux mehr Schaden andrichten, als unter Win? TsTsTs ;-)
2. (fast) keiner der User kann mit Linux umgehen
Muss doch auch keiner. Der, der's kann, stellt einmal alles ein, den Rest machen die User mit dem MidnightCommander - den sollten sie wohl bedienen koennen. Und der laeuft auch ueber eine Modemverbindung ganz ordentlich. Man darf es nur nicht mit dem M$-T@ln@t versuchen. Fiel Ervolk, Tschau, Volker -- Volker Mueller <A HREF="mailto:volker.mueller@gmx.de">mailto:volker.mueller@gmx.de</A> / * / / / /| / <A HREF="http://www.in-berlin.de/user/flinux/"><A HREF="http://www.in-berlin.de/user/flinux/</A">http://www.in-berlin.de/user/flinux/</A</A>> / / /| / / / X Climb Now Work Later t n t w Try Not To Work /_ / / |/ /_/ / | Macht mit beim Streik gegen das Sch**s Wetter: 10.11.'98 - (unbefristet) -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Volker! Volker Mueller wrote:
On Sat, 14 Nov 1998, Matthias Brunner wrote:
Shell-Account kommt nicht in Frage: 1. aus Sicherheitsgründen
Die da waeren? Kann ein user unter Linux mehr Schaden andrichten, als unter Win? TsTsTs ;-)
Sicherheitsgründe: Jedes Programm, welches das suid-Bit (sendmail/ping) gesetzt hat bzw. bereits unter der uid 0 läuft (sendmail/telnetd/sshd/ftpd), ist ein potentielles Sicherheitsrisiko. Meist sind diese Programm zwar gut getestet, aber es wird nie 100ichere Programme geben. Nun ist es so, dass man remote normalerweise nur auf Inet-Services Zugriff hat. (telnet/ssh/ftp/sendmail) Besitzt man einen Shell-Account, so kann man theoretisch alle Programme ausführen, auch die, welche das suid-Bit gesetzt haben. Obwohl die Distributoren versuchen, die Anzahl dieser Programm möglichst klein zu halten, ist sie doch noch um einiges größer als die der für alle offenen und mit der uid 0 laufenden Inet-Services. Ich hoffe das damit geklärt zu haben. mfG Matthias Brunner <mbrunner@blumenstrasse.vol.at> LINVX REGNET! -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 6.0 for non-commercial use <<A HREF="http://www.pgp.com"><A HREF="http://www.pgp.com</A">http://www.pgp.com</A</A>>> iQA/AwUBNk6t72Q4rRtZvwRBEQLMjACgm/z2ulj1sMJdIUiETLTcguGR5A0AoLqG xZdDN1Z4wTC0P3kZyK4R0ffe =dh5i -----END PGP SIGNATURE----- -----PGP-Key----- Typ: DH/DSS Key-Id: 0x59BF0441 Fingerprint: EA23 AC31 544F 31B2 7367 1670 6438 AD1B 59BF 0441 Please send a message with "GET PGPKEY 0x59BF0441" (without the qoutes) in the header to the address "mbrunner@blumenstrasse.vol.at" in order to get this key. -----PGP-Key----- -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Sun, 15 Nov 1998, Matthias Brunner wrote: [ ... Mitarbeiter sollen wegen Sicherheitsbedenken keinen Shellaccount bekommen ... ]
Die da waeren? Kann ein user unter Linux mehr Schaden andrichten, als unter Win? TsTsTs ;-)
Sicherheitsgründe:
Besitzt man einen Shell-Account, so kann man theoretisch alle Programme ausführen, auch die, welche das suid-Bit gesetzt haben. Obwohl die Distributoren versuchen, die Anzahl dieser Programm möglichst klein zu halten, ist sie doch noch um einiges größer als die der für alle offenen und mit der uid 0 laufenden Inet-Services.
Dass es prinzipiell potentielle Sicherheitsprobleme geben _kann_, ist mir schon klar. Aber irgendwo muss man ja dann doch mal mit seiner Paranoia aufhoeren. So, wie ich die Sache verstanden habe, ging es um Zugriff von Mitarbeiten eines Projektes auf den Server, auf dem das Projekt laufen soll, und das bei Leuten, die wenig Linux-Erfahrung haben. 1) Welches Interesse sollten diese Leute haben, den Server zu schaedigen? 2) Sind sie dazu in der Lage, den Server zu schaedigen? Sollte es nach der Beantwortung dieser Fragen immer noch zu riskant sein, den Mitarbeitern einen Shellaccount zur Verfuegung zu stellen, so koennte man ueberlegen, einen zusaetzlichen Server hinzustellen (486-16MB RAM oder sowas), auf dem die Mitarbeiter arbeiten duerfen und der die entsprechenden Verzeichnisse via NFS etc. an den "wirklichen" Server exportiert. Stellt man die entsprechenden Verzeichnisse vom "Zwischenserver" via SAMBA den Mitarbeitern zur Verfuegung, so koennen sie friedlich und ohne es zu merken nahezu direkt auf dem eigentlichen Server arbeiten (sogar ohne Shellaccount). Besteht zum eigentlichen Server nur ein DialUp zur Verfuegung (soll ja vorkommen ;-)), koennte man ueber einen CronJob nachdenken, der die Verzeichnisse regelmaessig aktualisiert, sofern Veraenderungen vorgenommen wurden. Testen koennte man solange auf einem lokalen Server (so mache ich das hier zum Beispiel staendig). Tschau, Volker -- Volker Mueller <A HREF="mailto:volker.mueller@gmx.de">mailto:volker.mueller@gmx.de</A> / * / / / /| / <A HREF="http://www.in-berlin.de/user/flinux/"><A HREF="http://www.in-berlin.de/user/flinux/</A">http://www.in-berlin.de/user/flinux/</A</A>> / / /| / / / X Climb Now Work Later t n t w Try Not To Work /_ / / |/ /_/ / | Macht mit beim Streik gegen das Sch**s Wetter: 10.11.'98 - (unbefristet) -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Sun, Nov 15, 1998 at 12:34:41PM +0100, Matthias Brunner wrote:
Besitzt man einen Shell-Account, so kann man theoretisch alle Programme ausführen, auch die, welche das suid-Bit gesetzt haben.
Hmm, vielleicht bin ich ja zu blauäugig, aber was spricht gegen die Verwendung einer restricted bash (rbash) als Login-Shell für diese unsicheren User? Wenn man den PATH in dieser rbash auf ein Verzeichnis setzt, in dem man nur Spielzeug mit dem GS-Stempel ("Geprüfte Sicherheit") zur Verfügung stellt, dürfte das doch relativ sicher sein, oder? Viele Grüße... Michael -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On Sat, 14 Nov 1998, Matthias Brunner wrote:
Ziemlich umfangreiches HTML-Projekt, an dem, sagen wir mal, 20-40 Leute mitarbeiten wollen. Diese sollen die Dateien über ftp auf den Server kopieren. Da man nun ja schlecht allen 40 vollen Zugriff auf das gesamte Projekt geben kann, teilt man sie in Gruppen ein.
1. titelseite; 3 User 2. gemuese; 6 3. obst; 7 4. fleisch; 5 5. fisch; 9
Gibt es so etwas wie eine umask für ftp?
Weiss ich nicht. Aber wenn's DOSen-User sind, wie's hier durchklingt, ist doch sicher Samba und "force group" angesagt. Dann koennen die sogar DORT mit ihren Editoren arbeiten, statt download/edit/upload-Zyklen zu absolvieren (kann man denen DAS eigentlich vermitteln ohne Fragen wie "muss das sein?" zu hoeren ?) Und wenn man dann im 'man smb.conf' noch "valid users" entdeckt, duerfen sich auch einzelne hervortun :) G.Sittig@abo.FreiePresse.DE -- If you don't understand or are scared by any of the above ask your parents or an adult to help you. -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
participants (4)
-
G.Sittig@abo.FreiePresse.DE -
mbrunner@blumenstrasse.vol.at -
michael.mauch@gmx.de -
volker.mueller@gmx.de