sudo -u und Dateirechte › System einrichten und verwalten › Systemverwaltung, Installation, Aktualisierung › Forum › ubuntuusers.de

sudo -u und Dateirechte

« Vorherige1Nächste »

Status: Gelöst | Ubuntu-Version: Kein Ubuntu
Antworten |

AopicieR Anmeldungsdatum: 27. Dezember 2008 Beiträge: 138	Zitieren 3. Januar 2011 10:56 Hallo, aus Sicherheitsgründen würde ich Firefox gerne unter einem anderen Benutzerkonto (webuser) laufen lassen, das keine Zugriffsrechte auf mein Homeverzeichnis hat. Mein Firefoxprofil liegt im RAM, so dass ich in /home/webuser/.mozilla nur einen symbolischen Link auf /dev/shm/firefox-profil liegen habe. Für letzteren Ordner setze ich beim Erstellen Lese- und Schreibrechte für alle Benutzer. Firefox starte ich dann per sudo -u webuser firefox Das Problem ist, dass die von Firefox erstellten Dateien dann webuser gehören und dass mein Benutzer für diese Dateien keine Schreibrechte hat. Damit funktioniert dann leider das Skript, das das Firefoxprofil regelmäßig mit meinem Homeordner synchronisiert, nicht mehr richtig. Außerdem ist es nervig, bei heruntergeladenen Dateien keine Schreibrechte zu haben. Deshalb die Frage: Wie kann ich erreichen, dass die von dem Prozess sudo -u webuser firefox angelegten Dateien Lese- und Schreibzugriffe durch alle Benutzer erlauben? Eine entsprechende umask in .bash_profile oder .bashrc zu setzen, funktioniert leider nicht. Ich nehme mal an, dass sudo -u mit der Bash des aufgerufenen Benutzers gar nichts zu tun hat. Falls jemand eine andere Idee hat, wie man Firefox "absichern" kann, ist diese auch willkommen. Danke für alle Vorschläge.
redknight Moderator & Supporter Anmeldungsdatum: 30. Oktober 2008 Beiträge: 21846 Wohnort: Lorchhausen im schönen Rheingau	Zitieren 3. Januar 2011 11:03 (zuletzt bearbeitet: 3. Januar 2011 11:09) AopicieR schrieb: Außerdem ist es nervig, bei heruntergeladenen Dateien keine Schreibrechte zu haben. Das ist aber doch genau eines der Zeile der Aktion. Du willst unter anderem, dass Dir untergeschobene Downloads nicht automatisch ausgeführt werden können. Will sagen: Working as intended angelegten Dateien Lese- und Schreibzugriffe durch alle Benutzer erlauben? Da müsste dann wohl schon eine ACL mit passenden defaultwerten her, je nachdem, wohin du speicherst. Falls jemand eine andere Idee hat, wie man Firefox "absichern" kann, ist diese auch willkommen. In Anführungszeichen ist immer toll, denn es deutet an, dass du selbst nicht genau beschreiben kannst, was du vorhast. also im Sinne von Richtig Fragen: Was genau ist dein Ziel, wogegen willst du dich absichern?
AopicieR (Themenstarter) Anmeldungsdatum: 27. Dezember 2008 Beiträge: 138	Zitieren 3. Januar 2011 11:21 Hi, das Ziel ist in erster Linie, zu erreichen, dass ich mir sicher sein kann, dass nicht eines Tages irgendein Add-on mein gesamtes Homeverzeichnis auf irgendeinen Server hochlädt. Es geht also um den Schutz meiner persönlichen Dokumente. Ich schreibe "absichern", da mir bewusst ist, dass ich mit dem oben beschriebenen Ansatz zum Beispiel nicht dagegen abgesichert bin, dass ein Add-on die im Browser gespeicherten Passwörter mitliest, meine Onlinebankingsessions loggt oder auch einfach nur meinen Browserverlauf irgendwo veröffentlicht. Heruntergeladene Dateien sehe ich nicht als Problem. Da müsste dann wohl schon eine ACL mit passenden defaultwerten her, je anchdem, wohin du speicherst. Hm, das sieht schon wieder ziemlich aufwändig aus. Es ist nicht möglich, festzulegen, dass einfach alle von webuser (oder von webuser gehörenden Prozessen) erstellten Dateien global les- und schreibbar sind?
redknight Moderator & Supporter Anmeldungsdatum: 30. Oktober 2008 Beiträge: 21846 Wohnort: Lorchhausen im schönen Rheingau	Zitieren 3. Januar 2011 11:35 AopicieR schrieb: das Ziel ist in erster Linie, zu erreichen, dass ich mir sicher sein kann, dass nicht eines Tages irgendein Add-on mein gesamtes Homeverzeichnis auf irgendeinen Server hochlädt. Es geht also um den Schutz meiner persönlichen Dokumente. Dann solltest du das eher in einem chroot-jail angehen 😉 Heruntergeladene Dateien sehe ich nicht als Problem. Sogenannte Drive-By-Downloads sind aber der häufigste Weg der Infektion von Systemen. Wenn du schon absichern willst, dann gerade gegen die. Es ist nicht möglich, festzulegen, dass einfach alle von webuser (oder von webuser gehörenden Prozessen) erstellten Dateien global les- und schreibbar sind? Das ist Systemimmanent. Eine neu erstellte Datei gehört immer dem Benutzer, der sie erstellt hat. Ausnahmen gibt es nur, wenn der Prozess rootrechte hat und die Group/owner beim erstellen ändern kann ODER wenn das Dateisystem am Speicherort dazu zwingt, durch ACL (oder das SGID-Bit im Fall der Gruppenzugehörigkeit)
AopicieR (Themenstarter) Anmeldungsdatum: 27. Dezember 2008 Beiträge: 138	Zitieren 3. Januar 2011 19:12 (zuletzt bearbeitet: 3. Januar 2011 19:38) Dann solltest du das eher in einem chroot-jail angehen 😉 Hm, das wollte ich vermeiden, ebenso wie SELinux (wegen des Aufwandes, sich einzuarbeiten). Eine einfache (und komfortable!) Lösung unter Verwendung eines anderes Benutzers scheint ja aber auch eine Illusion gewesen zu sein, also schaue ich mir chroot doch mal an. €: Hm, ne, muss bei meiner Einschätzung bleiben, dass mir das zu aufwendig ist. Vielleicht läuft mir irgendwann noch eine andere Lösung über den Weg. Danke für Deine Kommentare.
AopicieR (Themenstarter) Anmeldungsdatum: 27. Dezember 2008 Beiträge: 138	Zitieren 4. Januar 2011 14:11 Ok, ich hab's jetzt doch über ACL gemacht, ist ja doch ziemlich leicht. Aus irgendeinem Grund sind die Cache-Dateien von Firefox nur von webuser lesbar, obwohl ich für den ganzen Profilordner eine Default ACL von rw für meinen eigentlichen Benutzer gesetzt habe, aber was soll's, die interessieren mich eh nicht beim Synchronisieren. Danke für den Tipp mit ACL.

« Vorherige1Nächste »

Antworten |

« Vorheriges Thema Nächstes Thema »