RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

CHMOD 777

https://www.rootforum.org/forum/viewtopic.php?t=50653

Page 1 of 1

CHMOD 777

Posted: 2009-08-13 22:44
by Anonymous
Hallo,

ich hab jetzt mal ne blöde frage, mein anbieter meint dass es normal ist und keine sicherheitsbedenken gibt wenn z.b. das webalizier verzeichnis komplett 777 hat.

Ich finde das klingt nicht gut...was meint ihr?

VG

marcus

Re: CHMOD 777

Posted: 2009-08-13 23:07
by Roger Wilco
Naja, das ist wie bei allem: Es kommt darauf an.

Eine Berechtigungsmaske von 0777 auf eine Datei oder ein Verzeichnis bedeutet eben, dass jeder Benutzer des Systems die Dateien beliebig bearbeiten kann. Wenn nur vertrauenswürdige Benutzer auf dem System sind, ist das kein Problem. Wenn nicht-vertrauenswürdige Benutzer auf dem System Zugang haben, kann das ein Problem sein. Normalerweise würde man einem dedizierten Benutzer die Generierung der Statistiken übertragen, damit das Ausgabeverzeichnis von Webalizer (o. ä.) nicht für alle beschreibbar sein muss.

Schön ist das sicherlich nicht, aber eine konkrete Gefahr sehe ich dadurch nicht - vorausgesetzt das Verzeichnis ist nur mit Shellzugang auf dem Server zugänglich und nicht öfflentlich.

Re: CHMOD 777

Posted: 2009-08-13 23:21
by Anonymous
Hi

mhh also ist ja derzeit nicht mein server und der soll sogar gemanged sein, aber bin über die aussage einfach verunsichert.

wenn ich per web darauf greife sehe ich das verzeichnis nicht aber per SSH natürlich und per FTP hab ich nicht die nötigen rechte, da der ordner per root angelegt wurde...

mh

Re: CHMOD 777

Posted: 2009-08-13 23:24
by Anonymous
Also im index, wenn man auf die webseite kommt stehts nicht da, aber wenn man es eingibt und dann kommt halt die passwort abfrage per htacess oder so.

Ist das jetzt gut oder schlecht?

Re: CHMOD 777

Posted: 2009-08-13 23:32
by Joe User
sevensenses wrote:Also im index, wenn man auf die webseite kommt stehts nicht da, aber wenn man es eingibt und dann kommt halt die passwort abfrage per htacess oder so.

Ist das jetzt gut oder schlecht?
Das ist im Allgemeinen so ausreichend.

Re: CHMOD 777

Posted: 2009-08-13 23:51
by Anonymous
Das heist konkret ?

Kling jetzt nicht so berauschend.

Oder kann ich noch etwas testen ?

Mag mich halt vergewissern dass der anbieter Ahnung auch hat.

Re: CHMOD 777

Posted: 2009-08-14 00:43
by Joe User
sevensenses wrote:Das heist konkret ?
Dass es auf Deine persönliche Security-Policy ankommt.
sevensenses wrote:Kling jetzt nicht so berauschend.
Dann geh halt auf Nummer sicher (dedizierter User, umask 027).
sevensenses wrote:Oder kann ich noch etwas testen ?
Da gibt es Nichts weiter zu testen.
sevensenses wrote:Mag mich halt vergewissern dass der anbieter Ahnung auch hat.
Zumindest war seine diesbezügliche Aussage, sofern so getroffen wie von Dir geschildert, völlig richtig.

Re: CHMOD 777

Posted: 2009-08-14 08:33
by Anonymous
Joe User wrote:Dass es auf Deine persönliche Security-Policy ankommt.
mh kannst du ein wenig genauer werden , zugang habe ich ja zum server, würde gern nachschauen.
Joe User wrote:Dann geh halt auf Nummer sicher (dedizierter User, umask 027).
??? Kannst du da ein wenig genauer werden :)
Joe User wrote:Zumindest war seine diesbezügliche Aussage, sofern so getroffen wie von Dir geschildert, völlig richtig.
Das klingt jetzt aber ziemlich "gerichtlich"....lach....

Re: CHMOD 777

Posted: 2009-08-14 20:07
by Anonymous
mh und was muss unter .profile genau stehen?

# ~/.profile: executed by Bourne-compatible login shells.

if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi

mesg n

Re: CHMOD 777

Posted: 2009-08-14 23:43
by Anonymous
na gut, welche berechtigungen die verzeichnisse und dateien bekommen, wenn sie auf den server kommen. aber wie muss das in der .profil aussehen dann?
ist das jetzt falsch was in meiner steht?

Re: CHMOD 777

Posted: 2009-08-15 00:33
by rudelgurke
Dass kommt darauf an wie "dateien und verzeichnisse" auf den Server kommen. Werden die z. Bsp. per Webinterface hochgeladen kann es sein deine .profile wird völlig ignoriert.
Und wie schon gesagt - es ist generell die Frage ob du restriktiv vorgehen willst und notfalls damit Probleme bekommst mit diverser Software oder weniger restriktiv, dafür deine Software läuft.

Als genereller Überblick:

http://tldp.org/HOWTO/Security-HOWTO/file-security.html

Bevor dass auf dem Server übernommen wird und ein "chmod -R a-w,og-rwx /" gemacht wird bitte vorher auf der lokalen Maschine / VM testen ob auch alles die gewünschten Ergebnisse bringt.

Zum "chmod" - so bitte NICHT ausführen ;)

Re: CHMOD 777

Posted: 2009-08-15 10:32
by daemotron
sevensenses wrote:na gut, welche berechtigungen die verzeichnisse und dateien bekommen, wenn sie auf den server kommen. aber wie muss das in der .profil aussehen dann?
ist das jetzt falsch was in meiner steht?
Nein, deine .profile ist nicht falsch. Und überhaupt, "Deine" bedeutet in dem Fall die von root? Die von Dir gepostete .profile macht nichts anderes, als den Inhalt der Datei .bashrc einzulesen/auszuführen. Das ist aus historischen Gründen so gewachsen. Die ursprüngliche Bourne Shell führt beim Start immer ~/.profile aus. Dieses Verhalten haben ihre jüngeren Ableger (Ash, Dash, Bash, Zsh, ...) von ihr geerbt. Die meisten von ihnen lesen aber zusätzlich auch noch Shell-spezifische rc-Dateien ein, die von den anderen Derivaten jeweils nicht verstanden würden (z. B. ~/.bashrc, ~/.zshrc). Daher behalten die meisten Distributionen eine ~./profile (was ich persönlich allerdings für Bullshit halte, da eine ash nun versuchen würde, den u. U. bash-spezifischen Inhalt von ~./bashrc auszuführen).

Nun zum Thema umask. umask() ist ein System Call, mit dem die sog. "file mode creation mask" eines Prozesses geändert werden kann. Diese file mode creation mask ist eine Eigenschaft des Prozesses, die er normalerweise von seinem Eltern-Prozess erbt. Da viele Dateien und Verzeichnisse entweder direkt von einem Shell-Prozess (z. B. durch > oder touch) oder durch Kindprozesse eines Shell-Prozesses (z. B. mkdir, mv, cp) erzeugt werden, implementieren POSIX-kompatible Shells ein umask-Kommando, mit dem der Anwender die file mode creation mask des Shell-Prozesses verändern kann.

Vielleicht wird jetzt klarer, wo das Problem liegt: Neue Dateien erhalten den Modus, welcher der file mode creation mask des entsprechenden Prozesses (FTP-Server, webalizer, ...) entspricht. Je nachdem, wie dieser gestartet wird, erbt er seine file mode creation mask eventuell sogar direkt vom init-Prozess. Was also in einer ~./profile drinsteht, beeinflusst den erzeugenden Prozess u. U. nicht die Bohne. Webalizer wird normalerweise über cron aufgerufen. Hier kannst Du ein einfaches Workaround schaffen: schreibe Dir ein Mini-Shellskript, das etwa wie folgt aussieht:

Code: Select all

#!/bin/sh
umask 0027
<hier den webalizer-Aufruf aus der crontab>
exit $?
Speichere es an geeigneter Stelle ab, verpasse ihm Ausführungsberechtigung (0755 oder 0555) und trage es anstelle des bisherigen Webalizer-Aufrufs in die Crontab ein. Die Wirkung: Cron startet jetzt nicht mehr direkt webalizer, sondern einen Shell-Prozess. Dieser setzt auf die Anweisung im Skript hin seine file mode creation mask auf den gewünschten Wert und startet darauf hin webalizer. Webalizer läuft jetzt also als Kindprozess des Shellskipt-Prozesses und erbt somit dessen file mode creation mask.

Das war jetzt einmal der Crashkurs; die ausführliche Variante solltest Du Dir lieber selbst anlesen, z. B. hier:
http://openbook.galileocomputing.de/linux/
http://www.tldp.org/LDP/Bash-Beginners- ... index.html
http://www.tldp.org/LDP/intro-linux/htm ... 03_04.html
http://www.tldp.org/LDP/intro-linux/html/chap_04.html
http://www.tldp.org/HOWTO/Security-HOWT ... urity.html
All times are UTC+01:00
Page 1 of 1