Linux vraagje

[cgi-bin]

Onder Linux kunnen gebruikers niet alleen in hun homedir maar ook daarbuiten kunnen ze alles lezen, dat is niet echt goed volgens mij. Wat moet ik daaraan doen?

[Unexplained]

Je bedoelt met FTP? Of via de shell?

[cgi-bin]

allebei.

users kunnen bijvoorbeeld ook in /root komen en daar shit lezen.

[Koen]

Mja dat klopt. Ligt aan je chmod instellingen. Stel dat jij wil dat alleen de root user in /root kan uitvoeren/schrijven/lezen, dan moet je die dir 700 chmodden.

Anders via FTP en SSH een chroot instellen, waardoor gebruikers niet buiten hun eigen homedir kunnen komen.

[Marc S]

Citaat:

Koen schreef:
Anders via FTP en SSH een chroot instellen, waardoor gebruikers niet buiten hun eigen homedir kunnen komen.

Is zowiezo aan te raden.

[wanrecords]

Citaat:

cgi-bin schreef:
allebei.

users kunnen bijvoorbeeld ook in /root komen en daar shit lezen.

dat is overigens erg vreemd. want volgens mij horen de meeste linux-distro's standaard de root alleen leesbaar te maken voor de root user.

is bij mij in ieder geval wel zo.

[Unexplained]

Citaat:

cgi-bin schreef:
allebei.

users kunnen bijvoorbeeld ook in /root komen en daar shit lezen.

In de configfile van je ftp-daemon kun je dat instellen waarschijnlijk voor je FTP. Voor je shell zul je telnetd/sshd in een chroot omgeving moeten draaien.

dat met /root is op te lossen door 'chmod 700 /root' in te typen.

[dystopia]

google.com
pam_chroot

succes!

[Koen]

Citaat:

wanrecords schreef:

dat is overigens erg vreemd. want volgens mij horen de meeste linux-distro's standaard de root alleen leesbaar te maken voor de root user.

is bij mij in ieder geval wel zo.

Dan weet ik niet welke distro jij draait, maar Debian doet dat in ieder geval niet. En ik ken ook geen andere distro's die dat wel doen.

[cgi-bin]

Ik draai Debian....

[dystopia]

BlaBlaBla gewoon een chroot environment draaien.
pam_chroot roeleert zwaar.. makkelijk allemaal

mkdir /chroot
en bouw je Linux na daarin en alleen die progjes die je graag daar neer wilt zetten. Vergeet niet een /chroot/dev/pts (Pseudo terms) OF een /chroot/dev (DevFS) en /chroot/proc (ProcFS) aan te maken en je zult een zooi libs en bash moeten aanmaken.. 't spreekt voor zich..

Gebruik debuggers als strace en ltrace en ldd om te achterhalen waar de fout zit, mocht het niet werken.

Vergeet niet dat SCP en mogelijk SFTP ook onderdeel van SSH zijn en dat je die dus ook zult moeten testen voor chroot'ed environment.

En vergeet niet dat chroot's te breken zijn. Check www.grsecurity.net voor patches

[Chimera]

Citaat:

wanrecords schreef:

dat is overigens erg vreemd. want volgens mij horen de meeste linux-distro's standaard de root alleen leesbaar te maken voor de root user.

Tis net zo iets als /etc/passwd root-RO maken. Zolang ze niks kunnen schrijven is 't geen probleem.

[dystopia]

Citaat:

Chimera schreef:
Tis net zo iets als /etc/passwd root-RO maken. Zolang ze niks kunnen schrijven is 't geen probleem.

Nee. Een user heeft te maken met /etc/passwd en moet daarin kunnen lezen om in te kunnen loggen. Een read-only /etc/passwd heeft nare gevolgen daar halen UNIX-compatible systemen belangrijke informatie uit zoals username, realname, etc. Normaal gesproken is een /etc/shadow juist alleen root (en groups die dat nodig hebben) readable.

Een user heeft echter niks te zoeken in /root, dat in feite /home/root is en aangezien een gebruiker niks te zoeken heeft in andermans zaken, heeft een gebruiker al helemaal niks te zoeken in de zaken van God.

[Koen]

Citaat:

dystopia schreef:
Nee. Een user heeft te maken met /etc/passwd en moet daarin kunnen lezen om in te kunnen loggen.

Je kan best inloggen zonder acces tot /etc/passwd, maar dan krijg je dit:

Citaat:

I have no name!@superwrak:~$

Das ook niet wat

[dystopia]

Ja idd! Het werkt wel ja, maar het is onoverzichtelijk. Had het eerst zelf ook met m'n chroot