Runlevel Dateirechte und Sicherheit

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
velo
Posts: 111
Joined: 2003-01-11 02:51

Runlevel Dateirechte und Sicherheit

Post by velo »

Hallo alle,

ich habe gerade gesehen, dass in /etc/init.d die meisten einträge auch in "x" für Gruppe und other haben, zb:

Code: Select all

-rwxr-xr-x    1 root     root         4071 Oct 14  2002 cyrus
...aber das sieht mir doch sehr verdächtig nach gefährlichem Unfug aus. Es wurde aber so angelegt. Jetzt frag ich mich, ob es sein muss? Reicht es nicht alle nur root zu geben oder muss man noch bestimmte andere Systemuser beachten?

Soll man das Verzeichnis "." einfach irgendwie schützen?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Runlevel Dateirechte und Sicherheit

Post by captaincrunch »

Gegenfrage : wieso hältst du das für gefährlich ? Bei sämtlichen mir bekannten Linux-Distributionen (und anderen Unix-Derivaten) wird das so gehandhabt.
Ich habe mir dazu zwar noch keine Gedanken gemacht, halte das aber auch für recht unkritisch, da ohnehin nur root die nötigen Rechte hat, Dienste dort zu starten / stoppen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

velo
Posts: 111
Joined: 2003-01-11 02:51

Re: Runlevel Dateirechte und Sicherheit

Post by velo »

Ich hab das mal ausprobiert; mich als user (nicht root) eingelogt und dann

Code: Select all

/etc/init.d/cyrus start
ausgeführt. Er hat zumindest ein "done" hingeschrieben. Deswegen finde ich es bedenklich, wenn die user alles starten und beenden können. Noch schlimmer wenn jemand durch ein CGI Zugriff darauf erlangen könnte.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Runlevel Dateirechte und Sicherheit

Post by captaincrunch »

Er hat zumindest ein "done" hingeschrieben.
Und ? Läuft der Dienst noch oder nicht ?
Deswegen finde ich es bedenklich, wenn die user alles starten und beenden können.
Da gbe ich dir uneingeschränkt Recht, behaupte aber einfach mal, dass sie es nicht können. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Runlevel Dateirechte und Sicherheit

Post by dodolin »

behaupte aber einfach mal, dass sie es nicht können.
ACK. Wenn ein Prozess z.B. unter der UID 'cyrus' läuft, kann nur der User cyrus selbst oder root diesen beenden (von Ausnahmen jetzt mal abgesehen...). Ebenso kann nur der User cyrus oder root (von Ausnahmen abgesehen) einen Prozess unter UID cyrus starten. Ports < 1024 können auch nicht von Usern != root gebunden werden. Etc. pp.