root verzeichnis???

[richtri]

Hallo,
mal eine kurze frage: warum besitzt das root verzeichnis nach der installation leserechte für jedermann? (system: debian3.0r0; nur root als benutzer angelegt)
cu richtri

[Neotux]

wenn du nicht willst, das jemand im root verzeichnis rumliest, dann stell das als root so ein(am einfachsten mit konqueror).

[blackm]

wenn du nicht willst, das jemand im root verzeichnis rumliest

Es wäre schon besser, wenn man das könnte, weil in dem Verzeichnis /root befindet sich das Verzeichnis .ssh, in dem pie public keys des Users root gespeichert werden. Diese werden wiederrum fafür gebraucht, damit sich root richtig autorisieren kann. Da der sshd nicht als root läuft, muß das Verzeichnis weltweit lesbar sein, damit ssh in das Verzeichnis kommt und das angebotene Zertifikat mit dem public key verifiziert werden kann.

(am einfachsten mit konqueror).

? Am einfachsten mit chmod. Es reicht aber aus, wenn du es auf 711 einstellst.

by, blackm

[De Kus]

Es wäre schon besser, wenn man das könnte, weil in dem Verzeichnis /root befindet sich das Verzeichnis .ssh, in dem pie public keys des Users root gespeichert werden. Diese werden wiederrum fafür gebraucht, damit sich root richtig autorisieren kann. Da der sshd nicht als root läuft, muß das Verzeichnis weltweit lesbar sein, damit ssh in das Verzeichnis kommt und das angebotene Zertifikat mit dem public key verifiziert werden kann.

bist du dir da ganz sicher? also wenn ich ps ax -f mache bekomm ich

Code: Alles auswählen

UID        PID  PPID  C STIME TTY      STAT   TIME CMD
...
root       253     1  0 Sep14 ?        S      0:00 /usr/sbin/sshd
...

[blackm]

Hm...stimmt sieht bei mir auch so aus....und ich kann den User nicht mal in der config verändern.
Bei mir hatte das neulich mit der public key autorisierung nicht funktioniert. Nachdem ich dann die Berechtigungen angepasst hab ging es.

by, blackm

[richtri]

...ich kenn das von suse, dass das root verzeichnis standardtechnisch für niemanden lesbar und der gleichen ist. deshalb die frage. die rechtevergabe der verzeichnisse und dateien ist mir klar. also muss man nach einer neuinstallation die rechte an den user verzeichnissen vergeben? Danke erstmal..........

[De Kus]

also muss man nach einer neuinstallation die rechte an den user verzeichnissen vergeben?

wenn du den befehl adduser benutzt wird automatisch das user verzeichnich mit dem user als owner und group eingerichtet .
aber wenn du nicht allzuviele user verzeichnisse hattest sollten ein paar chown un chgrp nicht so tragisch sein .

[Neotux]

Neotux hat folgendes geschrieben::
wenn du nicht willst, das jemand im root verzeichnis rumliest

Es wäre schon besser, wenn man das könnte, weil in dem Verzeichnis /root befindet sich das Verzeichnis .ssh, in dem pie public keys des Users root gespeichert werden. Diese werden wiederrum fafür gebraucht, damit sich root richtig autorisieren kann. Da der sshd nicht als root läuft, muß das Verzeichnis weltweit lesbar sein, damit ssh in das Verzeichnis kommt und das angebotene Zertifikat mit dem public key verifiziert werden kann.

das war total wertfrei... wenn er das vereichniss "unlesbar" machen will, dann hab ich ihm es eben gesagt

(am einfachsten mit konqueror).? Am einfachsten mit chmod. Es reicht aber aus, wenn du es auf 711 einstellst.

stimmt da haste wohl recht, nur wissen einige nich(ich auch nicht) welche Zahl für was steht, und da hab ich mir eben gedacht, ich verweiss auf konqueror, der eine Grafische Einstellungsmöglichkeit hat

naja... wollt ich nur mal sagen...

[richtri]

@all:
mit dem root-verzeichnis meine ich natürlich das homeverzeichnis des superusers, nicht
das wurzelverzeichnis.
...und da ist es also egal ob da jemand drinn rumliest???? oder programme starten kann???
....der -richtri

[ernohl]

mit dem root-verzeichnis meine ich natürlich das homeverzeichnis des superusers, nicht das wurzelverzeichnis.

Dann ändere zur Vermeidung weiterer Missverständnisse bitte Deinen Sprachgebrauch, denn das root-Verzeichnis *ist* das Wurzelverzeichnis, nicht nur in der wörtlichen Übersetztung, sondern auch im allgemeinen Verständnis.

[pdreker]

@all:
mit dem root-verzeichnis meine ich natürlich das homeverzeichnis des superusers, nicht
das wurzelverzeichnis.
...und da ist es also egal ob da jemand drinn rumliest???? oder programme starten kann???
....der -richtri

Jou, warum auch nicht? Die User können ja auch die meisten Dateien aus /etc lesen, und das stellt auch kein Problem dar... Wenn natürlich der root-user seine tagtägliche Arbeit mit dem root Account macht, und da alle möglichen persönlichen Sachen und Passwortlisten (ganz brillante Idee! ) lagert, dann sollte man vielleicht 'mal darüber nachdenken, ob der wirklich root sein sollte...
Programme starten: ??? Die Frage macht keinen Sinn. Ich kann als User auch nach /var/log gehen und da Programme starten. Bewirken tut das gar nix, denn ich kann nicht nach /var/log schreiben (Naja, eigentlich kann ich schon, aber habe ich mit Absicht so konfiguriert). Wenn root in seinem Home Programme lagert, die nur er ausführen darf, dann sollte er die Perms auf den Dateien auf 700 setzen, und schon ist Ruhe. Programme, die wirklich am System herumfindern, und etwas machen, erfordern direkte root Rechte, es reicht nicht, sich im "richtigen Verzeichnis" zu befinden, man muss wirklich root sein.

Ich denke das grundsätzliche Problem ist folgendes: trusted User gegen untrusted User. Wenn Du auf deinem System nur ein paar Kumpels, denen Du vertraust einen Shell Account geben willst, dann kann man das ganze etwas sozusagen "normal" handhaben. Die Standard Permissions reichen (mit vielleicht einer kleinen Handvoll Veränderungen) für diesen Fall aus. Wenn Du allerdings untrusted Users hast, also User, bei denen Du vielleicht mit Hackversuchen rechnen muss, dann musst Du um Längen strengere Maßstäbe ansetzen. Da wären dann wirklich radikale Massnahmen gefragt, die die nicht vertrauenswürdigen User auf einen genau definierten Bereich des Systems beschränken. Reine Permissionlösungen helfen da dann nicht wirklich weiter. (Stichworte: chroot login, restricted Shell, keine Compiler, Programmausführung nur von bekannten, vertrauenswürdigen Orten usw...). Das ist eine Menge Arbeit, die auch eine gute Handvoll Fachkenntnis voraussetzt, damit man es wirklich richtig hinbekommt.

So, ich hoffe, dass das einige Punkte geklärt hat.

Patrick

[richtri]

@ernohl:
...na mit deinem komentar hast du mir ungemein geholfen. denkst du ich habe meinen
vorletzten beitrag umsonst gepostet? wenn du irgendwie gestresst bist lass es bitte
nicht an mir aus! ....richtri

@pdreker:
danke für deine ausführliche info. hat mir weitergeholfen. ...cu richtri

[ernohl]

@ernohl:
...na mit deinem komentar hast du mir ungemein geholfen. denkst du ich habe meinen
vorletzten beitrag umsonst gepostet? wenn du irgendwie gestresst bist lass es bitte
nicht an mir aus!

Das war ein freundlicher ("bitte") und gut gemeinter ("zur Vermeidung weiterer Missverständnisse") Hinweis, den ich unterlassen hätte, wenn es für dich nicht *natürlich* wäre, das Homevezeichnis des Superusers als root-Verzeichnis zu bezeichnen, sondern ein Versehen o.ä.
Aber kein Problem, ich werde Dich von weiterer Hilfe verschonen.

[pdreker]

Oh mann Leute...

Könnt Ihr nicht einfach 'mal berücksichtigen, dass getippte Dinge nicht immer so rüberkommen, wie man sie gemeint hat, und nicht die beleidigte Leberwurst spielen? Das gilt für alle. Wir sitzen unterm Strich alle im gleichen Boot, und ziehen am gleichen Strang.

Friede sei mit mit Euch...

Patrick

[richtri]

@ernohl:
war nicht so gemeint! Der Fehler lag ja bei mir. Also nicht sauer sein.
@pdreker:
hast ja recht. wir sind ja nicht mehr im kindergarten. Also nochmals entschuldigung.
@all:
und danke für die tipps!!!!!!!!!!!!!!!!!!!!!!!!!
...cu richtri

[ernohl]

@ernohl:
war nicht so gemeint!

Kein Problem! Von mir auch nicht.