Dr3as Skrevet 16. april 2004 Del Skrevet 16. april 2004 Sitter her med skolelinux og har fått til det meste.. men ting jeg synes er litt dumt er at brukerene har full tilgang til å se rundt overalt på systemet. En annen ting jeg ikke har prøvd ennå men som jeg tror går ann er at om 2 brukere er logget på samtidig kan man gå inn i hjemmeområdet(som er mounta opp mot 2k serveren vår) og lese der.. Hvordan er det enkleste å blokkere dette, de må jo kunne kjøre programmene sine fortsatt så.. Lenke til kommentar
smas190 Skrevet 16. april 2004 Del Skrevet 16. april 2004 (endret) sjekk hvilke brukere/grupper som har rettigheter til filene/mappene.. (ls -lsa for å se hvilke brukere/grupper som har rettigheter på filene/mappene..) hvis du feks vil at dr3as skal ha full rettigheter til filen "test", mens ingen andre brukere skal ha det.. kan du feks skrive: chown dr3as:users test også sette rettigheter.. chmod600 test da får dr3as brukeren full tilgang (6), mens users får 0.. og alle andre får 0 vil du at dr3as skal ha full tilgang, mens brukere i gruppen users bare har lese, og de andre ikke har noen tilgang.. kan du feks skrive chmod 640 test osv.. hvis du skal chown/chmodde mapper&undermapper kan du føye på en -R feks chmod -R 600 test/ edit: fant en liste til deg.. Number | Permissions ----------+--------------------------------------------------------------- 0 | None - cannot read or write or execute 1 | Can execute, but cannot read or write 2 | Write-only, cannot read or execute (??) 3 | Write-able/executable 4 | Read-only, cannot write to or execute 5 | Read-only executable, cannot write to 6 | Readable Writeable file, but not executable (ie: text file) 7 | Readable Writeable Executable file - most programs are this man chmod og man chown hjelper også Endret 16. april 2004 av zacky Lenke til kommentar
Dr3as Skrevet 16. april 2004 Forfatter Del Skrevet 16. april 2004 joda, kan både chmod og chown håpet bare det var noen enklere måte å gjøre dette på.. og om noen hadde et lite system på det.. for brukerene må jo kunne kjøre en del ting.. og de programmene trenger kanskje andre filer igjen.. og helst vil jeg ha dem låst til sitt eget brukerområde Lenke til kommentar
Cronius Skrevet 16. april 2004 Del Skrevet 16. april 2004 Tre ting: 1. Hvorfor er det dumt at brukerne har lesetilgang over hele systemet? *) 2. At brukerne ikke har lesetilgang til hverandres filer er vanlig, enkelt å få til, og til og med svart på over. 3. Hvis du behøver særdeles høy sikkerhet er det mulig å lage en jail-root til dem, men dette er _mye_ vanskligere å få til (google er din venn), og helt sikkert unødvendig i ditt tilfelle. *) Kritiske filer har man dessuten ikke lesetilgang til heller. Lenke til kommentar
Dr3as Skrevet 16. april 2004 Forfatter Del Skrevet 16. april 2004 jeg har fint lesetilgang til en del conf filer.. og siden det er snakk om en skole vil det være et høyt antall personer som kommer til å logge på. Noen av disse vil heeelt sikkert synes det er morro å leke seg litt. Lesetilgang på en del av disse filene vil jo kunne gi de muligheten til å muligens vite mere om systemet enn det jeg vil. Lenke til kommentar
xeon Skrevet 16. april 2004 Del Skrevet 16. april 2004 jeg har fint lesetilgang til en del conf filer.. og siden det er snakk om en skole vil det være et høyt antall personer som kommer til å logge på. Noen av disse vil heeelt sikkert synes det er morro å leke seg litt. Lesetilgang på en del av disse filene vil jo kunne gi de muligheten til å muligens vite mere om systemet enn det jeg vil. Da endrer du rettighetene på filene du ikke vil at de skal se da vet du Lenke til kommentar
slime mold Skrevet 16. april 2004 Del Skrevet 16. april 2004 jeg har fint lesetilgang til en del conf filer.. og siden det er snakk om en skole vil det være et høyt antall personer som kommer til å logge på. Noen av disse vil heeelt sikkert synes det er morro å leke seg litt. Lesetilgang på en del av disse filene vil jo kunne gi de muligheten til å muligens vite mere om systemet enn det jeg vil. Dette er en dårlig tilnærming til sikkerhet (kalles «security through obscurity»). Du bør ikke være avhengig av at brukerne vet lite om systemet for at det skal være sikkert! Sett heller opp systemet på en sikker måte i utgangspunktet. Lenke til kommentar
Dr3as Skrevet 16. april 2004 Forfatter Del Skrevet 16. april 2004 høres ut som en genialt ting SLIME MOLD men det er snakk om skolelinux her og da er det ikek jeg som setter opp alt fra bunn, får ta å gjemme filene ja.. så får jeg heller håpe at dette går bra *sette hide flags * Lenke til kommentar
gspr Skrevet 16. april 2004 Del Skrevet 16. april 2004 Med denne "security through obscurity"-holdningen (som er blitt nevnt), kunne du jo like godt brukt ufri programvare... Lenke til kommentar
Egil.B Skrevet 16. april 2004 Del Skrevet 16. april 2004 Lær deg å kompilere kernelen selv og patch den med grsec (http://www.grsecurity.net/). Da kan du blandt annet hindre brukerene å se hvilke prosesser andre brukere kjører. Det viktigste i en slik sammenheng du nevnte er derimot å hindre brukerne å kjøre programmer osv som ikke eies av root. Dermen vil de ikke ha muligheter til å kjøre exploits. Lenke til kommentar
kattemat Skrevet 16. april 2004 Del Skrevet 16. april 2004 Kan du gi eksempler på hvilke filer du ikke liker at elevene kan se? Lenke til kommentar
laaknor Skrevet 16. april 2004 Del Skrevet 16. april 2004 Beste løsningen jeg vet om..... chgrp elever /skole/tjener/home0 -R chmod g-rwx /skole/tjener/home0 -R chgrp elever /skole/tjener/home0 -R chmod g-rwx /skole/tjener/home0 -R Det fjerner i hvertfall lesetilgangen for elevene, samtidig som "spesialbrukerne" får tilgang. Lenke til kommentar
GNUfan Skrevet 16. april 2004 Del Skrevet 16. april 2004 grsec er ordentlig morro Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå