CHMOD 777

[Anonymous]

Hallo,

ich hab jetzt mal ne blöde frage, mein anbieter meint dass es normal ist und keine sicherheitsbedenken gibt wenn z.b. das webalizier verzeichnis komplett 777 hat.

Ich finde das klingt nicht gut...was meint ihr?

VG

marcus

[Roger Wilco]

Naja, das ist wie bei allem: Es kommt darauf an.

Eine Berechtigungsmaske von 0777 auf eine Datei oder ein Verzeichnis bedeutet eben, dass jeder Benutzer des Systems die Dateien beliebig bearbeiten kann. Wenn nur vertrauenswürdige Benutzer auf dem System sind, ist das kein Problem. Wenn nicht-vertrauenswürdige Benutzer auf dem System Zugang haben, kann das ein Problem sein. Normalerweise würde man einem dedizierten Benutzer die Generierung der Statistiken übertragen, damit das Ausgabeverzeichnis von Webalizer (o. ä.) nicht für alle beschreibbar sein muss.

Schön ist das sicherlich nicht, aber eine konkrete Gefahr sehe ich dadurch nicht - vorausgesetzt das Verzeichnis ist nur mit Shellzugang auf dem Server zugänglich und nicht öfflentlich.

[Anonymous]

Hi

mhh also ist ja derzeit nicht mein server und der soll sogar gemanged sein, aber bin über die aussage einfach verunsichert.

wenn ich per web darauf greife sehe ich das verzeichnis nicht aber per SSH natürlich und per FTP hab ich nicht die nötigen rechte, da der ordner per root angelegt wurde...

mh

[Anonymous]

Also im index, wenn man auf die webseite kommt stehts nicht da, aber wenn man es eingibt und dann kommt halt die passwort abfrage per htacess oder so.

Ist das jetzt gut oder schlecht?

[Joe User]

Also im index, wenn man auf die webseite kommt stehts nicht da, aber wenn man es eingibt und dann kommt halt die passwort abfrage per htacess oder so.

Ist das jetzt gut oder schlecht?

Das ist im Allgemeinen so ausreichend.

[Anonymous]

Das heist konkret ?

Kling jetzt nicht so berauschend.

Oder kann ich noch etwas testen ?

Mag mich halt vergewissern dass der anbieter Ahnung auch hat.

[Joe User]

Das heist konkret ?

Dass es auf Deine persönliche Security-Policy ankommt.

Kling jetzt nicht so berauschend.

Dann geh halt auf Nummer sicher (dedizierter User, umask 027).

Oder kann ich noch etwas testen ?

Da gibt es Nichts weiter zu testen.

Mag mich halt vergewissern dass der anbieter Ahnung auch hat.

Zumindest war seine diesbezügliche Aussage, sofern so getroffen wie von Dir geschildert, völlig richtig.

[Anonymous]

Dass es auf Deine persönliche Security-Policy ankommt.

mh kannst du ein wenig genauer werden , zugang habe ich ja zum server, würde gern nachschauen.

Dann geh halt auf Nummer sicher (dedizierter User, umask 027).

??? Kannst du da ein wenig genauer werden :)

Zumindest war seine diesbezügliche Aussage, sofern so getroffen wie von Dir geschildert, völlig richtig.

Das klingt jetzt aber ziemlich "gerichtlich"....lach....

[Anonymous]

mh und was muss unter .profile genau stehen?

# ~/.profile: executed by Bourne-compatible login shells.

if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi

mesg n

[Anonymous]

na gut, welche berechtigungen die verzeichnisse und dateien bekommen, wenn sie auf den server kommen. aber wie muss das in der .profil aussehen dann?
ist das jetzt falsch was in meiner steht?

[rudelgurke]

Dass kommt darauf an wie "dateien und verzeichnisse" auf den Server kommen. Werden die z. Bsp. per Webinterface hochgeladen kann es sein deine .profile wird völlig ignoriert.
Und wie schon gesagt - es ist generell die Frage ob du restriktiv vorgehen willst und notfalls damit Probleme bekommst mit diverser Software oder weniger restriktiv, dafür deine Software läuft.

Als genereller Überblick:

http://tldp.org/HOWTO/Security-HOWTO/file-security.html

Bevor dass auf dem Server übernommen wird und ein "chmod -R a-w,og-rwx /" gemacht wird bitte vorher auf der lokalen Maschine / VM testen ob auch alles die gewünschten Ergebnisse bringt.

Zum "chmod" - so bitte NICHT ausführen ;)

[daemotron]

na gut, welche berechtigungen die verzeichnisse und dateien bekommen, wenn sie auf den server kommen. aber wie muss das in der .profil aussehen dann?
ist das jetzt falsch was in meiner steht?

Nein, deine .profile ist nicht falsch. Und überhaupt, "Deine" bedeutet in dem Fall die von root? Die von Dir gepostete .profile macht nichts anderes, als den Inhalt der Datei .bashrc einzulesen/auszuführen. Das ist aus historischen Gründen so gewachsen. Die ursprüngliche Bourne Shell führt beim Start immer ~/.profile aus. Dieses Verhalten haben ihre jüngeren Ableger (Ash, Dash, Bash, Zsh, ...) von ihr geerbt. Die meisten von ihnen lesen aber zusätzlich auch noch Shell-spezifische rc-Dateien ein, die von den anderen Derivaten jeweils nicht verstanden würden (z. B. ~/.bashrc, ~/.zshrc). Daher behalten die meisten Distributionen eine ~./profile (was ich persönlich allerdings für Bullshit halte, da eine ash nun versuchen würde, den u. U. bash-spezifischen Inhalt von ~./bashrc auszuführen).

Nun zum Thema umask. umask() ist ein System Call, mit dem die sog. "file mode creation mask" eines Prozesses geändert werden kann. Diese file mode creation mask ist eine Eigenschaft des Prozesses, die er normalerweise von seinem Eltern-Prozess erbt. Da viele Dateien und Verzeichnisse entweder direkt von einem Shell-Prozess (z. B. durch > oder touch) oder durch Kindprozesse eines Shell-Prozesses (z. B. mkdir, mv, cp) erzeugt werden, implementieren POSIX-kompatible Shells ein umask-Kommando, mit dem der Anwender die file mode creation mask des Shell-Prozesses verändern kann.

Vielleicht wird jetzt klarer, wo das Problem liegt: Neue Dateien erhalten den Modus, welcher der file mode creation mask des entsprechenden Prozesses (FTP-Server, webalizer, ...) entspricht. Je nachdem, wie dieser gestartet wird, erbt er seine file mode creation mask eventuell sogar direkt vom init-Prozess. Was also in einer ~./profile drinsteht, beeinflusst den erzeugenden Prozess u. U. nicht die Bohne. Webalizer wird normalerweise über cron aufgerufen. Hier kannst Du ein einfaches Workaround schaffen: schreibe Dir ein Mini-Shellskript, das etwa wie folgt aussieht:

Code: Select all

#!/bin/sh
umask 0027
<hier den webalizer-Aufruf aus der crontab>
exit $?

Speichere es an geeigneter Stelle ab, verpasse ihm Ausführungsberechtigung (0755 oder 0555) und trage es anstelle des bisherigen Webalizer-Aufrufs in die Crontab ein. Die Wirkung: Cron startet jetzt nicht mehr direkt webalizer, sondern einen Shell-Prozess. Dieser setzt auf die Anweisung im Skript hin seine file mode creation mask auf den gewünschten Wert und startet darauf hin webalizer. Webalizer läuft jetzt also als Kindprozess des Shellskipt-Prozesses und erbt somit dessen file mode creation mask.

Das war jetzt einmal der Crashkurs; die ausführliche Variante solltest Du Dir lieber selbst anlesen, z. B. hier:
http://openbook.galileocomputing.de/linux/
http://www.tldp.org/LDP/Bash-Beginners- ... index.html
http://www.tldp.org/LDP/intro-linux/htm ... 03_04.html
http://www.tldp.org/LDP/intro-linux/html/chap_04.html
http://www.tldp.org/HOWTO/Security-HOWT ... urity.html