CHMOD 777

Serverdienste ohne eigene Kategorie
Anonymous

CHMOD 777

Post by Anonymous »

Hallo,

ich hab jetzt mal ne blöde frage, mein anbieter meint dass es normal ist und keine sicherheitsbedenken gibt wenn z.b. das webalizier verzeichnis komplett 777 hat.

Ich finde das klingt nicht gut...was meint ihr?

VG

marcus

Roger Wilco
Administrator
Administrator
Posts: 5923
Joined: 2004-05-23 12:53

Re: CHMOD 777

Post by Roger Wilco »

Naja, das ist wie bei allem: Es kommt darauf an.

Eine Berechtigungsmaske von 0777 auf eine Datei oder ein Verzeichnis bedeutet eben, dass jeder Benutzer des Systems die Dateien beliebig bearbeiten kann. Wenn nur vertrauenswürdige Benutzer auf dem System sind, ist das kein Problem. Wenn nicht-vertrauenswürdige Benutzer auf dem System Zugang haben, kann das ein Problem sein. Normalerweise würde man einem dedizierten Benutzer die Generierung der Statistiken übertragen, damit das Ausgabeverzeichnis von Webalizer (o. ä.) nicht für alle beschreibbar sein muss.

Schön ist das sicherlich nicht, aber eine konkrete Gefahr sehe ich dadurch nicht - vorausgesetzt das Verzeichnis ist nur mit Shellzugang auf dem Server zugänglich und nicht öfflentlich.

Anonymous

Re: CHMOD 777

Post by Anonymous »

Hi

mhh also ist ja derzeit nicht mein server und der soll sogar gemanged sein, aber bin über die aussage einfach verunsichert.

wenn ich per web darauf greife sehe ich das verzeichnis nicht aber per SSH natürlich und per FTP hab ich nicht die nötigen rechte, da der ordner per root angelegt wurde...

mh

Anonymous

Re: CHMOD 777

Post by Anonymous »

Also im index, wenn man auf die webseite kommt stehts nicht da, aber wenn man es eingibt und dann kommt halt die passwort abfrage per htacess oder so.

Ist das jetzt gut oder schlecht?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: CHMOD 777

Post by Joe User »

sevensenses wrote:Also im index, wenn man auf die webseite kommt stehts nicht da, aber wenn man es eingibt und dann kommt halt die passwort abfrage per htacess oder so.

Ist das jetzt gut oder schlecht?
Das ist im Allgemeinen so ausreichend.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Anonymous

Re: CHMOD 777

Post by Anonymous »

Das heist konkret ?

Kling jetzt nicht so berauschend.

Oder kann ich noch etwas testen ?

Mag mich halt vergewissern dass der anbieter Ahnung auch hat.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: CHMOD 777

Post by Joe User »

sevensenses wrote:Das heist konkret ?
Dass es auf Deine persönliche Security-Policy ankommt.
sevensenses wrote:Kling jetzt nicht so berauschend.
Dann geh halt auf Nummer sicher (dedizierter User, umask 027).
sevensenses wrote:Oder kann ich noch etwas testen ?
Da gibt es Nichts weiter zu testen.
sevensenses wrote:Mag mich halt vergewissern dass der anbieter Ahnung auch hat.
Zumindest war seine diesbezügliche Aussage, sofern so getroffen wie von Dir geschildert, völlig richtig.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Anonymous

Re: CHMOD 777

Post by Anonymous »

Joe User wrote:Dass es auf Deine persönliche Security-Policy ankommt.
mh kannst du ein wenig genauer werden , zugang habe ich ja zum server, würde gern nachschauen.
Joe User wrote:Dann geh halt auf Nummer sicher (dedizierter User, umask 027).
??? Kannst du da ein wenig genauer werden :)
Joe User wrote:Zumindest war seine diesbezügliche Aussage, sofern so getroffen wie von Dir geschildert, völlig richtig.
Das klingt jetzt aber ziemlich "gerichtlich"....lach....

Anonymous

Re: CHMOD 777

Post by Anonymous »

mh und was muss unter .profile genau stehen?

# ~/.profile: executed by Bourne-compatible login shells.

if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi

mesg n

Anonymous

Re: CHMOD 777

Post by Anonymous »

na gut, welche berechtigungen die verzeichnisse und dateien bekommen, wenn sie auf den server kommen. aber wie muss das in der .profil aussehen dann?
ist das jetzt falsch was in meiner steht?

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: CHMOD 777

Post by rudelgurke »

Dass kommt darauf an wie "dateien und verzeichnisse" auf den Server kommen. Werden die z. Bsp. per Webinterface hochgeladen kann es sein deine .profile wird völlig ignoriert.
Und wie schon gesagt - es ist generell die Frage ob du restriktiv vorgehen willst und notfalls damit Probleme bekommst mit diverser Software oder weniger restriktiv, dafür deine Software läuft.

Als genereller Überblick:

http://tldp.org/HOWTO/Security-HOWTO/file-security.html

Bevor dass auf dem Server übernommen wird und ein "chmod -R a-w,og-rwx /" gemacht wird bitte vorher auf der lokalen Maschine / VM testen ob auch alles die gewünschten Ergebnisse bringt.

Zum "chmod" - so bitte NICHT ausführen ;)

User avatar
daemotron
Administrator
Administrator
Posts: 2636
Joined: 2004-01-21 17:44

Re: CHMOD 777

Post by daemotron »

sevensenses wrote:na gut, welche berechtigungen die verzeichnisse und dateien bekommen, wenn sie auf den server kommen. aber wie muss das in der .profil aussehen dann?
ist das jetzt falsch was in meiner steht?
Nein, deine .profile ist nicht falsch. Und überhaupt, "Deine" bedeutet in dem Fall die von root? Die von Dir gepostete .profile macht nichts anderes, als den Inhalt der Datei .bashrc einzulesen/auszuführen. Das ist aus historischen Gründen so gewachsen. Die ursprüngliche Bourne Shell führt beim Start immer ~/.profile aus. Dieses Verhalten haben ihre jüngeren Ableger (Ash, Dash, Bash, Zsh, ...) von ihr geerbt. Die meisten von ihnen lesen aber zusätzlich auch noch Shell-spezifische rc-Dateien ein, die von den anderen Derivaten jeweils nicht verstanden würden (z. B. ~/.bashrc, ~/.zshrc). Daher behalten die meisten Distributionen eine ~./profile (was ich persönlich allerdings für Bullshit halte, da eine ash nun versuchen würde, den u. U. bash-spezifischen Inhalt von ~./bashrc auszuführen).

Nun zum Thema umask. umask() ist ein System Call, mit dem die sog. "file mode creation mask" eines Prozesses geändert werden kann. Diese file mode creation mask ist eine Eigenschaft des Prozesses, die er normalerweise von seinem Eltern-Prozess erbt. Da viele Dateien und Verzeichnisse entweder direkt von einem Shell-Prozess (z. B. durch > oder touch) oder durch Kindprozesse eines Shell-Prozesses (z. B. mkdir, mv, cp) erzeugt werden, implementieren POSIX-kompatible Shells ein umask-Kommando, mit dem der Anwender die file mode creation mask des Shell-Prozesses verändern kann.

Vielleicht wird jetzt klarer, wo das Problem liegt: Neue Dateien erhalten den Modus, welcher der file mode creation mask des entsprechenden Prozesses (FTP-Server, webalizer, ...) entspricht. Je nachdem, wie dieser gestartet wird, erbt er seine file mode creation mask eventuell sogar direkt vom init-Prozess. Was also in einer ~./profile drinsteht, beeinflusst den erzeugenden Prozess u. U. nicht die Bohne. Webalizer wird normalerweise über cron aufgerufen. Hier kannst Du ein einfaches Workaround schaffen: schreibe Dir ein Mini-Shellskript, das etwa wie folgt aussieht:

Code: Select all

#!/bin/sh
umask 0027
<hier den webalizer-Aufruf aus der crontab>
exit $?
Speichere es an geeigneter Stelle ab, verpasse ihm Ausführungsberechtigung (0755 oder 0555) und trage es anstelle des bisherigen Webalizer-Aufrufs in die Crontab ein. Die Wirkung: Cron startet jetzt nicht mehr direkt webalizer, sondern einen Shell-Prozess. Dieser setzt auf die Anweisung im Skript hin seine file mode creation mask auf den gewünschten Wert und startet darauf hin webalizer. Webalizer läuft jetzt also als Kindprozess des Shellskipt-Prozesses und erbt somit dessen file mode creation mask.

Das war jetzt einmal der Crashkurs; die ausführliche Variante solltest Du Dir lieber selbst anlesen, z. B. hier:
http://openbook.galileocomputing.de/linux/
http://www.tldp.org/LDP/Bash-Beginners- ... index.html
http://www.tldp.org/LDP/intro-linux/htm ... 03_04.html
http://www.tldp.org/LDP/intro-linux/html/chap_04.html
http://www.tldp.org/HOWTO/Security-HOWT ... urity.html
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time