Runlevel Dateirechte und Sicherheit

[velo]

Hallo alle,

ich habe gerade gesehen, dass in /etc/init.d die meisten einträge auch in "x" für Gruppe und other haben, zb:

Code: Select all

-rwxr-xr-x    1 root     root         4071 Oct 14  2002 cyrus

...aber das sieht mir doch sehr verdächtig nach gefährlichem Unfug aus. Es wurde aber so angelegt. Jetzt frag ich mich, ob es sein muss? Reicht es nicht alle nur root zu geben oder muss man noch bestimmte andere Systemuser beachten?

Soll man das Verzeichnis "." einfach irgendwie schützen?

[captaincrunch]

Gegenfrage : wieso hältst du das für gefährlich ? Bei sämtlichen mir bekannten Linux-Distributionen (und anderen Unix-Derivaten) wird das so gehandhabt.
Ich habe mir dazu zwar noch keine Gedanken gemacht, halte das aber auch für recht unkritisch, da ohnehin nur root die nötigen Rechte hat, Dienste dort zu starten / stoppen.

[velo]

Ich hab das mal ausprobiert; mich als user (nicht root) eingelogt und dann

Code: Select all

/etc/init.d/cyrus start

ausgeführt. Er hat zumindest ein "done" hingeschrieben. Deswegen finde ich es bedenklich, wenn die user alles starten und beenden können. Noch schlimmer wenn jemand durch ein CGI Zugriff darauf erlangen könnte.

[captaincrunch]

Er hat zumindest ein "done" hingeschrieben.

Und ? Läuft der Dienst noch oder nicht ?

Deswegen finde ich es bedenklich, wenn die user alles starten und beenden können.

Da gbe ich dir uneingeschränkt Recht, behaupte aber einfach mal, dass sie es nicht können. ;)

[dodolin]

behaupte aber einfach mal, dass sie es nicht können.

ACK. Wenn ein Prozess z.B. unter der UID 'cyrus' läuft, kann nur der User cyrus selbst oder root diesen beenden (von Ausnahmen jetzt mal abgesehen...). Ebenso kann nur der User cyrus oder root (von Ausnahmen abgesehen) einen Prozess unter UID cyrus starten. Ports < 1024 können auch nicht von Usern != root gebunden werden. Etc. pp.