RootForum Community

Hallo Zusammen,

ich habe bei mir die Benutzer virtualisiert und deswegen libnss-mysql installiert. Die Zugangsdaten zu den MySQL Tabellen liegen in /etc/libnss-mysql.cfg. Das Problem ist aber, dass die Zugriffsrechte dieser Datei 755 sein müssen, damit die UIDs richtig augeflöst werden. Nebeneffekt ist, dass so jeder Benutzer am Server die Datei auslesen und die Zugangsdaten zum MySQL Server sehen kann.

Wie kann ich verhindern, dass jeder Benutzer willkürlich in meinen /etc -Dateien herumschnüffeln kann, ohne die Programme durch zu strenge Zugriffsrechte zu behindern?

Grüße

eagle2k

Gar nicht.
Die Dateien in denen Benutzer nichts verloren haben bekommen entsprechende Rechte. Zumindest angeblich auch mit dieser Software. Sonst kick sie weg.
Lesestoff:
http://www.kernel.org/pub/linux/libs/pam/index.html

Es geht darum, dass, wenn ich das Lesen der Dateien für Others verbiete, die Progamme selbst nicht mehr auf ihre Konfigurationsdateien zugreifen können. Soll ich dann, wenn zB Apache unter www-data läuft, die Owner der Dateien auf www-data setzen und dann die Rechte auf 700?

Das kannst Du tun. Wenn da große Geheimnisse wie Passwörter drin stehen solltest Du das tun. Übrigens wahrscheinlich 600. (Bei www-data ist die Gruppe interessant dann hast 660 bzw 640).

Bei den meisten Sachen in /etc müssen alle luser sie lesen können bzw ist das kein Problem. Bei der von Dir genannten Software sind die Login Daten in einer getrennten Datei.
Dazu gibt es Gruppen und wenn das alles noch nicht reicht suid Programme, die weiter überprüfen und dann als der benötigte user bestimmte Aufgaben kontrolliert zulassen(die aber dann gut Programmiert sein müßen, weil mit ihnen die Sicherheit, die Du erreichen wolltest steht und fällt).

lucki2 wrote:Übrigens wahrscheinlich 600

Ich biete 0400. Wir wollen doch nicht, dass der httpd seine eigene Konfigurationsdatei verändern kann, gell?

überhaupt, das machen wir ganz anders, eine extra private group(owner machen wir auch extra):
und dann:
1040

Wie wäre es mit ACL?

Ich schnabbel noch was weil jfreud etwas Wahres angesprochen hat. Apache darf seine Konfig wirklich nicht ändern. 400 bringt jedoch das Gegenteil: 640 root.www-data oder 640 root.apache wenn das wichtig sein sollte. Kannst auch einen anderen owner nehmen - nur nicht www-data.

Normal ist 644 root.root eine gute Wahl für Datein in /etc.

Gibt so Dateien wie /etc/shaddow, da ist dann 640 root.root oder 600 root.root angesagt. Oder 640 root.shaddow mit besonderer Gruppe.

Entsprechend sollte die Rechte der Datei mit Deinen Passwörtern sein.

N.B. Diese leidige Thema kommt normalerweise, wenn die Leute das erste mal realisieren was 644 root.root für /etc/passwd heißt. Dann fangen die Leute wie wild an ihre Rechte zu ändern und danach funktioniert nichts mehr bzw haben sie das Gegenteil erreicht wie mit der 400 für Apache. In Deinem Falle wars mal nicht die /etc/passwd sondern das äquivalent von nss.
Pam ist eine Antwort darauf.
ACL ist auch eine Antwort.