Smoi
Anmeldungsdatum: 12. April 2007
Beiträge: 19
|
Kann mal jemand einen Bug gegen folgendes filen? Bevorzugt jemand der versteht dass das eine der dümmsten Sachen ist die man tun kann. Aus: http://wiki.ubuntuusers.de/Homeverzeichnis#Rechte
Um trotzdem komfortabel eigene Programme oder Skripte starten zu können, kann man im Homeverzeichnis ein Verzeichnis mit dem Namen bin erstellen und dort Skripte oder Anwendungen ablegen bzw. verlinken. Das Verzeichnis $HOME/bin wird, sofern es existiert, nach der Anmeldung automatisch in der PATH-Umgebungsvariable eingetragen. Kurzerklärung:
- Man schiebt einem unbedarften User ein .tar unter, welches ein ~/bin enthält
- darin liegt ein Programm welches wie ein anderes, oft benutztes (z.B. ls heist)
- darin befindet sich Schadcode, nach Durchlauf des in ~/bin liegenden Schadprogrammes führt das Programm dann das richtige Programm aus, also z.B. /usr/bin/ls, so dass man gar nichts merkt
- da das Verzeichnis ~/bin ganz vorne an den PATH gesetzt wird, wird das Schadprogramm natürlich auch noch bevorzugt ausgeführt Ich hab hier grad eine Frage wegen eines anderen Problemen gestellt, und von den beiden Leute mit denen ich da zu tun hatte hat mir einer chown root:root / und dann Benutzervezeichnisse zurückgeben empfohlen um eine Problem mit kwallet zu lösen, und der andere hat mir erzählt, dass man gegen o.g. Problem doch bitte seinen Rechner verschlüsseln solle. Da ich auf dieses Niveau wirklich keine Lust habe, schreib ich das mal hier ein, und hoffe dass es Leute mit mehr Geduld als ich gibt. Und hoffentlich mit mehr Verstand, als das was ich bisher hier erlebt habe, denn dass es das auch noch ins Wiki schafft, spricht schon mal Bände. Viele Grüße
Steve
|
Knarf68
Anmeldungsdatum: 14. Mai 2013
Beiträge: 2702
|
Toll das du das so siehst es gibt eine Diskussion dafür. P.S. Das Wiki ist von Benutzern für Benutzer gemacht. Wäre gut wenn du dich dabei beteiligen würdest.
|
Smoi
(Themenstarter)
Anmeldungsdatum: 12. April 2007
Beiträge: 19
|
Knarf68 schrieb: Toll das du das so siehst es gibt eine Diskussion dafür.
Warum sollte man über Sachen diskutieren die seit Urzeiten bekannt und erwiesenermaßen richtig sind? Hast du zu viel Zeit?
P.S. Das Wiki ist von Benutzern für Benutzer gemacht. Wäre gut wenn du dich dabei beteiligen würdest.
Erstmal: Nein.
Und dann: denk mal drüber nach ob das wirklich so sinnvoll ist, wenn sowas von inkompetenten für inkompetente geschrieben wird. Viele Grüße
Steve
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Smoi schrieb: Da ich auf dieses Niveau wirklich keine Lust habe, schreib ich das mal hier ein, und hoffe dass es Leute mit mehr Geduld als ich gibt.
Wenn es Dir die Mühe nicht wert ist, wieso sollte sie es anderen sein?
Und hoffentlich mit mehr Verstand, als das was ich bisher hier erlebt habe, denn dass es das auch noch ins Wiki schafft, spricht schon mal Bände.
„Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, dass er genug davon habe.“
– Rene Descartes (1596-1650) Nebenbei, Du hast beim Vorschau ansehen vor dem Absenden bemerkt, dass Dein Beitrag nicht so formatiert wurde, wie Du wolltest? Wie man hier Aufzählungen erzeugt, steht in der Hilfe zur Syntax. 🤓
|
Knarf68
Anmeldungsdatum: 14. Mai 2013
Beiträge: 2702
|
Ich bin überzeugt das hier viele hochkarätige Spezialisten sind. Das sieht man daran das sie sich Fehler eingestehen.
Niemand ist perfekt. Aber zusammen sind wir perfekter.
|
mrkramps
Anmeldungsdatum: 10. Oktober 2006
Beiträge: 5523
Wohnort: south central EL
|
Die von dir hier angesprochene, automatische Erweiterung von PATH um ~/bin ist Standard unter Ubuntu. Siehe Datei ~/.profile
| […]
# set PATH so it includes user's private bin if it exists
if [ -d "$HOME/bin" ] ; then
PATH="$HOME/bin:$PATH"
fi
|
Wenn man jemandem ein Archiv mit einem Ordner bin/ unterschieben kann, dann auch eine angepasste .profile (oder .bashrc, .bash_login, .bash_logout usw.) die von der Bash entsprechend automatisch eingelesen wird, eine versteckte Dateien ist, und vollständige Skripte oder auch eine Erweiterung von Umgebungsvariabeln beinhalten kann. Darüber würde ich mir eher Sorgen machen … Aber genau deswegen soll man ja auch keine Fremdquellen benutzen, wenn man nicht weiß, was man tut!
|
Smoi
(Themenstarter)
Anmeldungsdatum: 12. April 2007
Beiträge: 19
|
V for Vortex schrieb: Smoi schrieb: Da ich auf dieses Niveau wirklich keine Lust habe, schreib ich das mal hier ein, und hoffe dass es Leute mit mehr Geduld als ich gibt.
Wenn es Dir die Mühe nicht wert ist, wieso sollte sie es anderen sein?
Keine Ahnung. Ich hab ja nur gefragt ob jemand Bock drauf hat.
Und hoffentlich mit mehr Verstand, als das was ich bisher hier erlebt habe, denn dass es das auch noch ins Wiki schafft, spricht schon mal Bände.
„Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, dass er genug davon habe.“
– Rene Descartes (1596-1650) Nebenbei, Du hast beim Vorschau ansehen vor dem Absenden bemerkt, dass Dein Beitrag nicht so formatiert wurde, wie Du wolltest? Wie man hier Aufzählungen erzeugt, steht in der Hilfe zur Syntax. 🤓
Na los, Zitateschlacht. Ich hab zum Beispiel eins von mir auf Lager: "Wenn man nichts zum Thema beizutragen hat, kann man immer noch Metadiskussionen anzetteln um wenigstens irgendwas gesagt zu haben"
Stark, oder? Dagegen stinkt dein Descartes nämlich vollkommen ab, weil der schon viel weiter oben in diesem Thread widerlegt ist. Viele Grüße
Steve
|
Smoi
(Themenstarter)
Anmeldungsdatum: 12. April 2007
Beiträge: 19
|
Knarf68 schrieb: Ich bin überzeugt das hier viele hochkarätige Spezialisten sind. Das sieht man daran das sie sich Fehler eingestehen.
Niemand ist perfekt. Aber zusammen sind wir perfekter.
Ich zweifle ☺ Viele Grüße
Steve
|
Smoi
(Themenstarter)
Anmeldungsdatum: 12. April 2007
Beiträge: 19
|
mrkramps schrieb:
Wenn man jemandem ein Archiv mit einem Ordner bin/ unterschieben kann, dann auch eine angepasste .profile (oder .bashrc, .bash_login, .bash_logout usw.) die von der Bash entsprechend automatisch eingelesen wird, eine versteckte Dateien ist, und vollständige Skripte oder auch eine Erweiterung von Umgebungsvariabeln beinhalten kann. Darüber würde ich mir eher Sorgen machen … Aber genau deswegen soll man ja auch keine Fremdquellen benutzen, wenn man nicht weiß, was man tut!
Gutes Argument, dagegen ist insofern wenig zu sagen, als dass es leider Standard ist, dass dieses ganze Geraffel vom Nutzer schreibbar ist :/ Trotzdem ists nicht gut, so ein dickes Loch aufzumachen. Shellrcs kann man schreibschützen, ein bin Verzeichnis müsste man anlegen und dann schreibschützen.Dazu muss man aber erstmal wissen, dass das in den Pfad eingefügt wird. Ich wusste es zum Beispiel nicht. Und ich hab ein $HOME/bin, aber das hängt am Ende des Pfades. Dachte ich zumindest bis jetzt. Mit Fremdquellen hat das aber weniger zu tun, der Kram kann ja in jedem Archiv stecken. Viele Grüße
Steve
|
mrkramps
Anmeldungsdatum: 10. Oktober 2006
Beiträge: 5523
Wohnort: south central EL
|
Smoi schrieb: Mit Fremdquellen hat das aber weniger zu tun, der Kram kann ja in jedem Archiv stecken.
Man soll prinzipiell Quellen für Daten/Software jeder Art meiden oder zumindest jedes Mal kritisch hinterfragen, wenn man diese Quelle nicht als vertrauenswürdig einstufen kann. Man kann solche konzeptionell bedingten Umstände nicht den Entwicklern zur Last legen, wenn das an Anwendern scheitert, die sich nicht mal für die grundlegensten Grundlagen der Sicherheit interessieren. Denen sollte dann aber auch ein Administrator die Geräte pflegen und den entsprechenden Abschnitt aus der ~./profile löschen 😉 Unabhängig davon möchte ich das nicht schön reden, weil zwar kein akutes aber immerhin überhaupt in irgendeiner Weise ein Sicherheitsrisiko bestehen könnte. Mir wäre es auch lieber, wenn das optional einzurichten wäre und nicht als Standard verwendet wird. Insbesondere weil es ansich eine Funktion ist, die vermutlich von den meisten Anwendern eh nicht aktiv verwendet wird. Allerdings ist es nicht nur Standard in Ubuntu, sondern scheinbar auch in Debian. Und ich behaupte jetzt einfach mal, dass es in beiden Distributionen Entwickler und Anwender gibt, die das daraus resultierende Risiko besser einschätzen können, als wir beide.
|
Smoi
(Themenstarter)
Anmeldungsdatum: 12. April 2007
Beiträge: 19
|
Ja, in Debian ist das auch so. Ich kotz echt ab. Naja, jetzt weis ich es und konnte es reparieren. Das Problem was ich sehe ist, dass man es einfach nicht weis. Mein $home/bin steht normalerweise am Pfadende, und das aus o.g. Gründen ganz bewusst. Und dann kommt irgendsoein dämlicher Maintainer und meint das einfach mal umdrehen zu können. Mit genau keinem Nutzen, denn wer $HOME/bin/ verwendet, der wird sich das eh selbst in den Pfad schreiben. Deine Einschätzungen zu den Usern und Maintainern teil ich aber wirklich nur sehr bedingt. Ich verwende seit Bo Debian, also seit 1997, und bin nicht der Meinung, dass sich das System in seiner Konstruktion zum besseren verändert hat. Viele Grüße
Steve
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Smoi schrieb: Kurzerklärung:
- Man schiebt einem unbedarften User ein .tar unter, welches ein ~/bin enthält
Um die Hierarchie zu schützen entpackt man auch nicht innerhalb von $home, sondern mindestens eine Ebene tiefer.
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
Hi. Das ist doch alles Quatsch, man kann auch ne Binary mit dem Namen ungefährlich.txt runter laden und doppelklicken oder aus einem Forum den Vorschlag "rm -rf /" in sein Terminal kopieren. bashrc und bin etc. sind ja extra dafür da, dass der Benutzer sein System an seine Bedürfnisse anpassen kann. Hier in voller Rage dagegen zu schimpfen, bringt auch nix. Da war auch kein dummer Entwickler am Werk, das ist einfach ein Konzept und nicht mehr Sicherheitsrisiko als rm oder dd.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Smoi schrieb: Na los, Zitateschlacht. Ich hab zum Beispiel eins von mir auf Lager: "Wenn man nichts zum Thema beizutragen hat, kann man immer noch Metadiskussionen anzetteln um wenigstens irgendwas gesagt zu haben"
Kennst Du „don't feed the troll“? 😉 Wenn Du hier breitseitenweise über Dummheit, mangelnden Verstand und Inkompetenz Anderer klagst, ist darauf einzugehen themenfremd? Dann thematisiere es halt nicht erst. Ansonsten stimme ich stfishr vollkommen zu.
|