noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28958
Wohnort: WW
|
Hallo, ich hätte immer noch seeehr gerne einen Weg, wie das via ufw geht. Ansonsten müsste der Artikel noch Wiki-konform formatiert werden. Da firehol essentiell ist, gehört die Paketinstallation nach vorne und nicht hinten, "versteckt" in den Text. Gruß, noisefloor
|
g123
Anmeldungsdatum: 5. November 2007
Beiträge: 490
|
Wäre es nicht einfacher für den Browser und das E-Mail-Programm AppArmor-Profile anzulegen und einzustellen, dass z.B. Firefox nur noch schreibend auf den Download-Ordner und die eigenen Einstellungen zugreifen darf? Den Lesezugriff auf alle anderen Ordner im Home-Verzeichnis (private Daten) könnte man auch sperren.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28958
Wohnort: WW
|
Hallo, es gibt sicherlich noch mehr Möglichkeiten. Wobei die im Artikel beschriebene schon sehr umfassend ist, da ja zusätzlich noch der Netzwerk-Zugang per Firewall eingeschränkt wird. BTW:
ich hätte immer noch seeehr gerne einen Weg, wie das via ufw geht.
Das geht nicht, weil ufw auf Applikations-Ebene arbeitet und keine Regel-per-Benutzer kennt. Gruß, noisefloor
|
g123
Anmeldungsdatum: 5. November 2007
Beiträge: 490
|
es gibt sicherlich noch mehr Möglichkeiten. Wobei die im Artikel beschriebene schon sehr umfassend ist, da ja zusätzlich noch der Netzwerk-Zugang per Firewall eingeschränkt wird.
Ich wollte auch nur zeigen, dass es unter Umständen eine "einfachere" Alternative gibt. Wenn man mehrere Benutzer auf einem Rechner eingerichtet hat oder eine größere Anzahl von PCs verwaltet, ist es ja nicht gerade optimal, wenn man auf jedem Rechner/für jeden Benutzer mehrere Unterkonten anlegen muss, nur damit man mit ein paar Programmen sicher auf das Netzwerk zugreifen kann. Bei AppArmor muss man halt nur das Profil auf den Rechner kopieren und die Programme sind einigermaßen gesichert. Kleine Ergänzung: AppArmor kann ebenfalls den Zugriff auf das Netzwerk steuern. Zumindest in einem gewissen Umfang.
ich hätte immer noch seeehr gerne einen Weg, wie das via ufw geht.
Das geht nicht, weil ufw auf Applikations-Ebene arbeitet und keine Regel-per-Benutzer kennt.
Es würde ja auch reichen, wenn man einfach die Regeln für iptables im Artikel angibt. Ich sehe im Artikel auch ein Problem, bei der Art, wie die Programme unter dem anderen Benutzer ausgeführt werden. Die Berechtigungen für den X-Server werden nicht an das "Unterkonto" übertragen. Die Lösung dafür nennt sich sux.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28958
Wohnort: WW
|
Hallo,
Ich wollte auch nur zeigen, dass es unter Umständen eine "einfachere" Alternative gibt.
Klar, keine Frage. ☺ Letztendlich muss ja auch jeder selber wissen, ob er den im Artikel beschriebenen "Aufwand" treiben will, um sich abzusichern. Gruß, noisefloor
|
frustschieber
Ehemalige
Anmeldungsdatum: 4. Januar 2007
Beiträge: 4259
|
Ist der Artikel denn jetzt fertig?
|
kaputtnik
Anmeldungsdatum: 31. Dezember 2007
Beiträge: 9245
|
Habe noch ein paar kleinigkeiten geändert → diff. Was mir noch nicht gefällt ist der Abschnitt Richtigen-Befehl-zum-Starten-von-Programmen-unter-anderem-Benutzer-erproben zum editieren von /etc/sudoers. Hier wird auf einen normalen Texteditor verwiesen, was bei /etc/sudoers wohl nicht so optimal ist. Im Artikel sudo/Konfiguration wird extra darauf hingewiesen, das man diese Datei ausschließlich per visudo editieren soll, da es sonst leicht zu einem "aussperren" aus dem System kommen kann. Hier wäre es besser im Wissenblock den Link zu sudo/Konfiguration einzutragen und dann im Text darauf zu verweisen. Oder direkt im Text auf sudo/Konfiguration verweisen?
|
Je_go
Anmeldungsdatum: 2. August 2009
Beiträge: 5
|
der Befehl
sudo chmod g+s /home/otto-email/Mail
Funktioniert bei mir leider nicht da der ordner "Mail" nicht im Verzeichniss exestiert. Muss der Ordner angelegt werden oder ist ein anderer gemeint. Wie wichtig ist der Befehl ? Bis jetzt scheint alles zu Funktionieren. gruß Je go
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Je go schrieb: sudo chmod g+s /home/otto-email/Mail
Wie wichtig ist der Befehl ?
Er macht das Verzeichnis zu einem Gruppenverzeichnis (alle neuen Dateien gehören der Gruppe).
https://wiki.ubuntu.com/MultiUserManagement Wenn Du deine Mails nur mit dem "otto-email" Account bearbeitest brauchen die nicht in einem Gruppenverzeichnis sein.
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
g123 schrieb: Ich sehe im Artikel auch ein Problem, bei der Art, wie die Programme unter dem anderen Benutzer ausgeführt werden. Die Berechtigungen für den X-Server werden nicht an das "Unterkonto" übertragen. Die Lösung dafür nennt sich sux.
Macht das denn nicht nur das selbe wie gksu?
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
kaputtnik schrieb: Habe noch ein paar kleinigkeiten geändert → diff.
Warum sollte denn /usr/lib/kde4/libexec/kdesu-distrib/kdesu benutzt werden, wenn darunter die Konfiguration für sudo angegeben wird?
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
g123 schrieb: Wäre es nicht einfacher für den Browser und das E-Mail-Programm AppArmor-Profile anzulegen und einzustellen, dass z.B. Firefox nur noch schreibend auf den Download-Ordner und die eigenen Einstellungen zugreifen darf? Den Lesezugriff auf alle anderen Ordner im Home-Verzeichnis (private Daten) könnte man auch sperren.
Wenn Du nur Unterbenutzer (selektiv) ans Netz lässt isolierst Du gleichzeitig alle anderen laufenden Programme vom Netz, zumindest können die nicht einfach so irgendwelche Verbindungen aufbauen. Falls z.B ein Binary runtergeladen und vom Hauptbenutzer ausgeführt wird (statt in einer Gastsitzung oder einem anderem Unteraccount) kommt es wenigstens nicht normal ins Netz wenn es schon an deine Daten kommt.
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Hab die Hinweise eingearbeitet und das kdesu-distrib erst mal wieder raus genommen.
|
kaputtnik
Anmeldungsdatum: 31. Dezember 2007
Beiträge: 9245
|
Netzmaat 007 schrieb: Warum sollte denn /usr/lib/kde4/libexec/kdesu-distrib/kdesu benutzt werden, wenn darunter die Konfiguration für sudo angegeben wird?
Weil es seit karmic keinen Befehl kdesu mehr gibt:
~$ kdesu dolphin
kdesu: Befehl nicht gefunden Es fehlt die Verknüpfung in usr/bin zu /usr/lib/kde4/libexec/kdesu-distrib/kdesu. Siehe auch Artikeldiskussion zu sudo und sudo#Grafisch-Ausfuehrung-mit-Passwort-des-Zielbenutzers Gruß kaputtnik
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Danke für Hinweis, nik. Hab den Pfad wieder eingefügt.
|