"home" kann man auch nicht 1:1 mit "Heimat" übersetzen, ich finde, es klingt einfach aufgesetzt, so als wolle man bewusst Anglizismen vermeiden 😉 (was prinzipiell ja nichts schlechtes ist).
Gruß
Anmeldungsdatum: Beiträge: 2076 Wohnort: Berlin |
"home" kann man auch nicht 1:1 mit "Heimat" übersetzen, ich finde, es klingt einfach aufgesetzt, so als wolle man bewusst Anglizismen vermeiden 😉 (was prinzipiell ja nichts schlechtes ist). Gruß |
(Themenstarter)
Anmeldungsdatum: Beiträge: 37971 |
* Bzgl. Homeverzeichnis vs. Heimatverzeichnis: * Bzgl Sicherheitsrisiko bei Rechte wiederherstellen: sudo chown $USER:$USER $HOME -R chmod 755 $HOME chmod 644 ~/.dmrc
* Bzgl. Leserechte nur für eigenen Benutzer: Tschuess |
Ehemalige
Anmeldungsdatum: Beiträge: 6018 Wohnort: Nürnberg |
Chrissss hat geschrieben:
Vielleicht sollte man bestimmte Verzeichnisse explizit angeben. Also eine Liste mit den häufigsten Übeltätern?
Das verstehe ich jetzt nicht ganz. Genau das erreicht man doch durch: chmod 700 $HOME Wo genau siehst du einen Nachteil? Ich würde sogar eigentlich 750 sagen, da dann noch explizit bestimmte User freigegeben werden könnten (Aufname in die Gruppe). Es ist übrigens sicherer als der Hinweis mit diesem "sudo dpkg-reconfigure adduser": Hier wird nämlich für $HOME eines neuen Benutzers die Berechtigung "user:user 751" (drwxr-x--x). Ein "Fremder" kann nicht den Inhalt von $HOME lesen, er darf aber sehr wohl in das Verzeichnis wechseln. Sobald er die Namen von Dateien/Verzeichnissen darunter kennt, kann er diese Öffnen/dort hinein wechseln, da deren Berechtigungen standardmäßig wieder 755/644 sind. Nicht gerade sicher! |
Anmeldungsdatum: Beiträge: 79 Wohnort: Erlangen |
Wenn jemand Synonyme zu HOME etc. schreibt sollte man auch erklären dass mit Homeverzeichnis etc. nicht das Verzeichnis /home gemeint ist. Sondern eben /home/BENUTZERNAME. |
Anmeldungsdatum: Beiträge: 8691 Wohnort: Hamburg-Altona |
DrScott hat geschrieben:
Wenn zusätzlich die Umask auf 027 gesetzt wird, schon. Der Nachteil von chmod 700 $HOME ist, dass man wirklich gar nichts mehr freigeben kann. Das verschafft uns erstens in Netzwerke/Server viele Leute, bei denen ~/public_html auf mysteriöse Weise nicht funktioniert (und denen man erst nach drei Seiten Rätselraten entlocken kann, dass sie mal diesen Befehl benutzt aber längst wieder vergessen haben), und zweitens ist es dann auf Mehrbenutzersystemen - auf Einzelbenutzersystemen ist das sowieso mehr oder weniger egal - nicht mehr möglich, mal eben einen Mitbenutzer eine Datei lesen zu lassen, die man gerade geschrieben hat. |
Ehemalige
Anmeldungsdatum: Beiträge: 6018 Wohnort: Nürnberg |
otzenpunk hat geschrieben:
Ein Weg in die richtige Richtung ist daher das Setzen von chmod 750 $HOME. Natürlich ändert das nichts an der Sache mit ~/public_html. Na ja, theoretisch schon, da man www_run (?) ja der Gruppe hinzufügen kann, aber am "Rätselraten" wird es nichts ändern 😉
Prima! Das sollte unbedingt im Artikel erwähnt werden. |
Anmeldungsdatum: Beiträge: 8691 Wohnort: Hamburg-Altona |
Außerdem sehe ich keinen Grund darin, der eigenen Gruppe auch alle Rechte zu entziehen. Und wenn man die Rechte nicht numerisch setzt, sondern symbolisch, kann man sich find sparen. chmod -R o= ~
Sehe ich nicht so. Normalerweise wäre es intuitiv, wenn jemand auf einem Mehrbenutzersystem arbeitet, dass man einfach mal eben Lese-/Schreibrechte für alle auf eine Datei setzen kann, und diese dann auch von allen Mitbenutzern gelesen/geschrieben werden kann. Das wird blockiert, wenn bei den Homeverzeichnissen das x-Bit fehlt. Denkt daran, dass wir hier über eine Maßnahme reden, die vor allem für Mehrbenutzersysteme interessant ist, wo die Nicht-Admin-Benutzer vielleicht nicht so viel Ahnung von Rechten haben und dann ständig irgendeinen Admin belästigen müssen. (Der ihnen dann das x-Bit wieder setzt um seine Ruhe zu haben und schon war alles für die Katz'.) |
Ehemalige
Anmeldungsdatum: Beiträge: 6018 Wohnort: Nürnberg |
otzenpunk hat geschrieben:
Stimmt! Diesen Ansatz im Hinterkopf würde ich nun machen (doch wieder mit find, um unterschiedliche Rechte zu erreichen: find $HOME -type d -exec chmod go-w {} \; find $HOME -type f -exec chmod g-wx,o-rwx {} \;
Dieser Schutz wirkt nun erstmal leider nicht für neue Dateien/Verzeichnisse. Daher sollte die umask auf 0026 gesetzt werden: Bei neuen Datein bewirkt dies: Gruppe darf lesen, Andere dürfen nichts. Bei Verzeichnissen: Gruppe darf wechseln und listen, Andere dürfen nur wechseln. |
Anmeldungsdatum: Beiträge: 8691 Wohnort: Hamburg-Altona |
DrScott hat geschrieben: find $HOME -type d -exec chmod go-w {} \; Das ist ziemlich überflüssig, da durch die Default-Umask 022 sowieso kein Verzeichnis versehentlich Gruppen- oder World-Schreibrechte haben sollte. (Wenn doch, sitzt das Problem zwischen Stuhl und Tastatur.) find $HOME -type f -exec chmod g-wx,o-rwx {} \; Ich würde nicht bei jedem Unterverzeichnis das world-x-Bit setzen, und lesen muss man das Verzeichnis auch nicht können, da dadurch auch bestimmte Informations-Lecks entstehen können. (Bspw. wenn du erfolgreich in das Verzeichnis ~arbeitskollege/porn wechseln kannst. 😉 ) x-Bit aufs Homeverzeichnis direkt muss reichen. Für die Unterverzeichnisse kann man die Rechte ja auch selber bequem z.B. im Nautilus einstellen, und wenn man das nicht versteht, schiebt man eben Dateien, die andere lesen können sollen, direkt ins Homeverzeichnis. Auch die versteckten Verzeichnisse sollten keinerlei world-Rechte haben. Ansonsten kann man nämlich mal eben schnell herausfinden, was für Programme die anderen Benutzer so nutzen. Wenn schon absichern, dann richtig. Die Gruppenrechte würde ich in dem Artikel, der sich ja eher an Einsteiger richtet, nicht sonderlich erwähnen um die Sache einfach zu halten. Da bei Ubuntu ja jeder seine eigene Gruppe hat, birgt das auch IMHO keinerlei Risiko. Also zusammengefasst: (echo; echo umask 027) >> ~/.bashrc # muss man das noch woanders eintragen, damit's für den gesamten Desktop gilt? chmod -R o-rwx $HOME chmod o+x $HOME chmod 644 ~/.dmrc # was hat es mit dieser Datei nochmal auf sich? Bzw. als globale Einstellung die Umask in /etc/profile einstellen. |
Anmeldungsdatum: Beiträge: 3396 |
Fertig? |
Ehemaliger
Anmeldungsdatum: Beiträge: 29048 Wohnort: WW |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 37971 |
Ein einfaches # chmod 700 $HOME finde ich persönlich noch nicht ideal. Kennt jemand den Dateinamen und den Pfad, so kann man trotzdem Daten aus anderen Homeverzeichnissen auslesen. Daher meine ich eben dass ein # find -type d -exec chmod 700 {} \; effektiver ist. Bzw. der Vorschlag von Otzenpunk ist eleganter # chmod -R o-rwx $HOME Die ~/.dmrc will 644 als Recht haben. Sucht mal nach dmrc. Man findet massig Threads. Üblicherweise kommt diese Users $HOME/.dmrc file is being ignored. This prevents the default session an language File should be owned by user an have 644 permissions. Users $HOME directory must be owned by users and not writeable by other users.
Den Zusatz von wegen .bashrc kann man imho Weglassen. Wer Dateien von Hand über die Shell anlegt, weiß was er tut. Und legt man Dateien über Anwendungsprogramme an, so liegt es an diesen wie die Rechte gesetzt werden. Hier legt Nautilus Dateien mit 600 an, OOo mit 644 etc... Tschuess |
Ehemalige
Anmeldungsdatum: Beiträge: 6018 Wohnort: Nürnberg |
Chrissss hat geschrieben:
Das will ich sehen! Chrissss hat geschrieben:
Oh je, das war mir jetzt wieder nicht so bewußt. "chmod 750 $HOME" ist mir jetzt wieder viel sympatischer... Chrissss, jetzt mußt Du Dich entscheiden, einen Tod müssen wir sterben... 😉 |
(Themenstarter)
Anmeldungsdatum: Beiträge: 37971 |
Gerne: Als benutzer1 mkdir ~/testdir chmod 700 ~/testdir touch ~/testdir/testfile echo "dies ist ein test" >> ~/testdir/testfile
cat /home/benutzer1/testdir/testfile Indem du die Rechte eines Verzeichnisses setzt legst du nur die Rechte fest wer das Verzeichnis ausführen darf, sprich betreten darf. Dies beinhaltet jedoch nicht das Auslesen von Dateien innerhalb des Verzeichnissen. Tschuess |
Ehemalige
Anmeldungsdatum: Beiträge: 6018 Wohnort: Nürnberg |
Ich kann das nicht nachvollziehen: Chrissss hat geschrieben:
ergibt bei mir: $ cat /home/sanmo/testdir/testfile cat: /home/sanmo/testdir/testfile: Permission denied Wobei als benutzer1 (bei mir sanmo): ls -la $HOME/testdir/testfile -rw-r--r-- 1 sanmo sanmo 7 2007-05-29 00:00 /home/sanmo/testdir/testfile Als Benutzer2 geht gerade noch: ls -lad /home/sanmo/testdir drwx------ 2 sanmo sanmo 4096 2007-05-29 00:00 /home/sanmo/testdir P.S: hatte bei meinem letzten Posting noch etwas editiert... |