Crontab Rechte der User in Confixx

Bash, Shell, PHP, Python, Perl, CGI
grandioso
Posts: 10
Joined: 2005-07-24 08:50

Crontab Rechte der User in Confixx

Post by grandioso »

Ich hab gerade mal Crontab in Confixx aktiviert.
Wenn ich nun in Confixx als User web1 einen Cronjob anlege, der z.B so lautet:

cat /etc/postfix/main.cf > /srv/www/htdocs/web1/html/postfixkonfiguration

kann ich als Confixx Benutzer mir jede Systemdatei aus /etc in meinen Webspace kopieren und per FTP runterladen. Das ist natürlich nicht gerade schön.

Gibt es ne Möglichkeit die Zugriffe aus Crontab der User, in Ihrem Pfad in dem Ihre Webseiten liegen, einzusperren?
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: Crontab Rechte der User in Confixx

Post by Roger Wilco »

grandioso wrote:Wenn ich nun in Confixx als User web1 einen Cronjob anlege, der z.B so lautet:

cat /etc/postfix/main.cf > /srv/www/htdocs/web1/html/postfixkonfiguration

kann ich als Confixx Benutzer mir jede Systemdatei aus /etc in meinen Webspace kopieren und per FTP runterladen.
Seit wann müssen normale Benutzer denn Zugriff auf sensible Daten in /etc haben? Wenn der obige Cronjob funktioniert, sind deine Dateiberechtigungen ganz schön im A****.
grandioso
Posts: 10
Joined: 2005-07-24 08:50

644 sind die Standardrechte bei einer SuSE 9.3 Installation

Post by grandioso »

Tja, das ist ja das Problem.

Standardmäßig ist bei Suse z.B. die main.cf auf 644.

Somit kann die jeder lesen. Das hat nix mit im A... zu tun. Das ist einfach so.
grandioso
Posts: 10
Joined: 2005-07-24 08:50

kann das mal jemand mit Confixx 3.0 nachtesten?

Post by grandioso »

ich wette das ist bei jeder Standardinstallation so.
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: kann das mal jemand mit Confixx 3.0 nachtesten?

Post by Roger Wilco »

grandioso wrote:ich wette das ist bei jeder Standardinstallation so.
Dann liegt es an dir, als fähigem Administrator, dieses Defizit zu ändern...
grandioso
Posts: 10
Joined: 2005-07-24 08:50

naja, das kanns ja auch nicht sein

Post by grandioso »

Dann verzichte ich lieber auf Cronjobs, sperre die User per open basedir und safemode bei php ein und lasse cgi über suexec laufen.

Ist wohl etwas umständlich hunderte von Dateien auf world readable zu prüfen.

Was mich nur bedenklich macht, bei den vielen Billighostern mit Confixx und Webspace für 1 EUR mit Cronjobs - da liest doch jeder alles mögliche auf dem Server mit....

Aber eigentlich beantwortet das nicht meine Frage:

Gibt es keine Möglichkeit die Cronjobs die von Confixx aufgerufen werden mit einem anderen User laufen zu lassen der nichts darf. Da müsste doch etwas machbar sein.
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: naja, das kanns ja auch nicht sein

Post by Roger Wilco »

grandioso wrote:Ist wohl etwas umständlich hunderte von Dateien auf world readable zu prüfen.

Code: Select all

man find
find /etc -perm +o=r
grandioso wrote:Gibt es keine Möglichkeit die Cronjobs die von Confixx aufgerufen werden mit einem anderen User laufen zu lassen der nichts darf. Da müsste doch etwas machbar sein.
Solange die Dateien für alle lesbar sind, bringt dir das gar nichts. :roll:
Eventuell könntest du dir was mit pam_chroot basteln, aber das bringt andere Komplikationen mit sich.
grandioso
Posts: 10
Joined: 2005-07-24 08:50

hm, gar nicht so einfach.....

Post by grandioso »

wenn man sich mal eindringlicher damit beschäftigt wird einem schnell klar, dass es verdammt schwer ist einen Webserver für viele User einigermaßen sicher zu machen. Mit suexec hab ich ja genau das selbe Problem. Da hab ich wohl etwas zu kurz gedacht.

Also doch alle Dateien nicht lesbar machen für alle User.

Alles klar. Danke nochmals. Alle Fragen geklärt.