dateirechte swap

[michaa7]

In der Debian Doc finde ich im entsprechenden Kapitel keinen hinweis auf die setzung sinnvoller Dateirechte für ein swapfile. Muß ein programm im userkontext ein swapfile lesen können oder ist das lleinige sache von root/system? Kurz, wie sollten die Dateirechte für ein swapfile lauten?

[syssi]

Swappen ist Aufgabe des Kernels und da sollte ihm niemand rein pfuschen. Deshalb gehoert ein Swapfile dem Benutzer "root" und nur dieser darf es lesen und schreiben: chmod 0600 swapfile

[michaa7]

danke

[wanne]

Ja das ist wirklich wichtig. User die den SWAP file lesen können könnten z.B. auch passwörter oder ähnliches mitschneiden.

[michaa7]

Ja das ist wirklich wichtig. User die den SWAP file lesen können könnten z.B. auch passwörter oder ähnliches mitschneiden.

Um so unverständlicher, dass es nicht im debian wiki erwähnt wird.

Stünde ich nicht mit wikis jeder art auf kriegsfuß hätte ich es geändert. Aber wenn ich sehe,
-> anmelden
-> doc lesen,
-> verarbeiten,
-> nicht durchblicken,
-> bestand verwursteln,
->mich ärgern,
-> meistens in wikis nicht das gesuchte finden
beschränke ich mein engagement auf reportbug.

[syssi]

Ich hatte ja die leise Hoffnung, dass irgendwo zwischen mkswap und swapon einmal die Rechte korrigiert werden. Ich habe mich jedoch gerade vom Gegenteil ueberzeugen lassen.

[michaa7]

Auf einem älteren rechner (Debian/stable) entdecke ich eben in den bootmeldungen sinngemäß:

swapon ...blabla ..permissions 1660 unsecure, 0660 empfohlen (recommended, suggested, ich weiß nicht mehr.

Im gegensatz zum szenario beim threadstart, wo es um einen anderen rechner mit swap*file*ging, handelt es sich hier um eine swap*partiton*.

Das ist der betreffende eintrag in meiner /etc/fstab

LABEL=swap none swap sw 0 0

Ähm, wie setze ich die rechte für eine partition auf 660, und warum 660 und nicht wie hier im thread empfohlen auf 600? man fstab ist bezüglich speziellen swap settings nicht sehr auskunftsfreudig.

[wanne]

Ähm, wie setze ich die rechte für eine partition auf 660, und warum 660 und nicht wie hier im thread empfohlen auf 600?

660 weil die Partition der Gruppe disk gehört, die extra für den zweck angelegt worden ist, leuten auf partitionen zugriff zu geben.
Unter UNIX sind auch partitionen Dateien liegen und /dev. Aber setzen tust du das besser gar nicht, wenn du nicht weißt, wie es geht.

[michaa7]

...Unter UNIX sind auch partitionen Dateien liegen und /dev. Aber setzen tust du das besser gar nicht, wenn du nicht weißt, wie es geht.

Nene, infos zurückhalten gildet nich. Dazu war die wahrnung zu deutlich.

[wanne]

Nene, infos zurückhalten gildet nich

Ich dachte die Info war da: device liegt unter /dev und setzen kannst du wie gewohnt mit chmod . Das dürfte aber bei jedem Systemstart wieder zurückgesetzt werden
Zauberwort für dauerhaft ändern wäre eine udev regel z.B so:

Code: Alles auswählen

UBSYSTEM=="block", ENV{ID_PATH}=="pci-0000:00:05.0-scsi-1:0:0:0-part9" GROUP="disk", MODE="660"

[michaa7]

Wenn das, wie du beschreibst, für normalnoobs nicht offenbar ist, was zu tun ist, andererseits der kernel/swapon beim booten eine warnung ausgibt, wäre das nicht einen bugreport wert (antwort: ja aber natürlich), nur gegen welches paket eigentlich? Die meldung kam ja mit "swapon".

Eigentlich müsste man entweder als spapon wishlist bug anregen, dass ein optionaler schalter "-s; --secure" hinzukommt, der stillschweigend sichere dateirechte setzt, oderaber man versteht es als sicherheitsbug, dass swapon gegen seine eigene ansicht handelt und unsichere dateirechte akzeptiert. *Ich* habe ja diese dateirecht nicht gesetzt sondern "mkswap". Dort in den manpages weder eine option noch überhaupt ein hinweis (eine weitere sicherheitslücke durch mangelhaft doku).
Ich werde definitiv einen bugreport schreiben, werde allerding noch warten was hier ggf. noch erwidert wird.