*On Sat, Jun 10, 2000 at 12:37:33AM +0200, Matthias Kleine wrote:
Wie ich kürzlich gelesen habe, kann man die Rechte von Programmen, die von root ausgeführt werden müssen, aber auch von gewöhnlichen Usern mittels suid-Bit ausgeführt werden können,
Ein gesetztes S-bit gibt einem User das Recht dieses mit der ID 0 , also mit rootrecht, zu starten. Dies zieht allerdings nicht bei "gewöhnlichen scripten! Dann sollte man ein tool wie sudo oder su1 einsetzten.
beschränken, indem man ihnen nur diejenigen root-Rechte gewährt, die für die jeweilige Aufgabe wichtig sind.
Ist nicht ganz richtig. Im "Linux-Anwender-Handbuch" (ist auf den SuSE-CD's als und kann installiert, paketserie [doc] werden) wird über diese Thema ausführlicher diskutiert. Es sind (blöderweise) gleich einige Bücher die da installiert werden und man benötigt mal eben 23,6 MB :( Aber es wird sicherlich anschl. wieder was zu löschen sein ;) Installiert werden sie (wahrsch.) unter /usr/doc zu finden sein. Über s-bit, g-bit und sticky-bit haben wir aber auch immer wieder hier in der Liste diskutiert. Deswegen solltest du 'ne Menge dazu in dem Listen-Archiv finden. manpages wüßte ich keine "anständige" :(
Überflüssige root-Rechte können wieder genommen und somit ein Mißbrauch des suid-Bits vermieden werden.
Vorsichtig,...ein gesteztes suid-bit gibt so lange das Recht bis es wieder genommen wird, also die Rechte des Programms also neu gesetzt werden. Für den pppd (ppp-daemon) bsp. wird so ein suid-bit gesetzt um den usern das surfen zu gewährleisten. Aufspüren kannst du alle gesetzten suid-bit's auf deinem System mit: $ find / -perm +4000 -not \(-name /proc \) `-exec ls -l` ...die `` um `-exec ls -l` sind wichtig um es als_einen_Befehl zu interpretieren. Die \ etschärfen die Klammern, sonst würde die bash sie als sonstwas interpretieren. INFO: [man find] Ich bevorzuge die Kombination mit Gruppenrechte. Also ein ausführen nur möglich machen wenn der user in der Gruppe ist. Damit wird das ausnutzen dieser Rechte beschränkt. Erkennen tust du ein gesetztes suid-bit an der 4 vor weg, also zB 4755 ist 4= suid-bit 7=Besitzer ( darf 4+2+1=7 ) ...lesen,schreiben und ausführen. 5= Gruppenangehörige ( darf 4+1=5 ) lesen und ausführen. 5= Welt/ALLE ( darf 4+1=5 ) lesen und ausführen. rwx sieht man auch; r für read, w für write und x für ausführen. r=4 w=2 x=1 folglich wäre rwxr-xr-x =755 Besser hier zu erkennen: =rwx,r-x,r-x Vielleich solltest du dir doch mal sudo und/oder su1 anschauen.
Wie funktioniert das? Welche man page ist mein Freund?
Linux-anwender Handbuch, manpages zum Thema direkt weiß ich keine. Gruß, Clemens -- sig_31 Inhalt eines Bildschirms[[B speichern in dem file 'inhalt': $ setterm -dump <term-nummer> -file ~/inhalt [man setterm ] *Xpage* => http://www.ndh.net/home/wohld --------------------------------------------------------- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com