Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: aku506 - 09.03.10 - klo:19.12
-
Minulla on Ubuntussani (Karmic Koala) sellainen jännittävä ominaisuus, että pääsen vapaasti lukemaan toisen käyttäjäntunnuksen tietoja (Ilman sudoiluja). Ongelma ei haittaisi, ellei se toimisi myös toisin päin, eli lähes oikeudeton (Saa käyttää CD-asemaa!) vierastunnus voi lukea minun tiedostoja. Sudo ei onneksi toimi vierastunnuksella. Osaako joku auttaa?
-
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).
Lisää oikeuksista: http://linux.fi/wiki/Tiedostojen_oikeudet
EDIT: Poistin sudon alusta. Herjaa enemmän jos ei ole sudoa.
-
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).
Lisää oikeuksista: http://linux.fi/wiki/Tiedostojen_oikeudet
Ei toimi. Herjaa vain: ”/home/aku506/.gvfs” ei voi käsitellä: Lupa evätty
-
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).
Lisää oikeuksista: http://linux.fi/wiki/Tiedostojen_oikeudet
Ei toimi. Herjaa vain: ”/home/aku506/.gvfs” ei voi käsitellä: Lupa evätty
Niin siitä herjaa, mutta meneekö ne muut tiedostot piiloon? Se on ainut jonka oikeuksia et voi muuttaa.
PS. Tuli mieleen, että tuossa komennossa ei tarvitsisi edes sudoa. ::)
-
Kannattaa myös asettaa umask niin, että uudetkin tiedostot saavat halutut oikeudet. Käytännössä tämä tapahtuu muokkaamalla /etc/login.defs-tiedostoa. Etsi sieltä UMASK-rivi, poista se kommenteista (ts. poista rivin alusta #-merkki) ja muuta se esim. muotoon:
UMASK 077
mikä tarkoittaisi ’kaikki oikeudet omistajalle, muille ei mitään’.
-
Niin siitä herjaa, mutta meneekö ne muut tiedostot piiloon? Se on ainut jonka oikeuksia et voi muuttaa.
PS. Tuli mieleen, että tuossa komennossa ei tarvitsisi edes sudoa. ::)
Toimii. Ei vain kestänyt sekunttiakaan, joten oletin tietysti heti, että ei toimi. Ja onhan tuohon "sudottamiseen" jo tottunut.
Kannattaa myös asettaa umask niin, että uudetkin tiedostot saavat halutut oikeudet. Käytännössä tämä tapahtuu muokkaamalla /etc/login.defs-tiedostoa. Etsi sieltä UMASK-rivi, poista se kommenteista (ts. poista rivin alusta #-merkki) ja muuta se esim. muotoon:
UMASK 077
mikä tarkoittaisi ’kaikki oikeudet omistajalle, muille ei mitään’.
Tehty.
-
Jos ongelma ratkesi niin olethan hyvä ja muokkaat ensimmäisen viestin otsikkoon (Ratkaistu) perään :)
-
Jos ongelma ratkesi niin olethan hyvä ja muokkaat ensimmäisen viestin otsikkoon (Ratkaistu) perään :)
TEHTY
-
aku506: Käyttäjät pääsevät lukemaan toisten tiedostoja [Ratkaistu]
Minulla on Ubuntussani (Karmic Koala) sellainen jännittävä ominaisuus, että pääsen vapaasti lukemaan toisen käyttäjäntunnuksen tietoja (Ilman sudoiluja). Ongelma ei haittaisi, ellei se toimisi myös toisin päin, eli lähes oikeudeton (Saa käyttää CD-asemaa!) vierastunnus voi lukea minun tiedostoja. Sudo ei onnek
Tapaus ratkaistu, mutta
- miten moinen tilanne pääsee syntymään ? Olitko esim. siirtänyt ko tiedostoja ? Esim koko home-osion ?
- ei riitä, että lopputulos korjataan, kyllä vian syntymekanismiin pitää päästä käsiksi ja estää ko. tilanne jatkossa !
Oppineita arvauksia tai jopa tietoa ?
-
aku506: Käyttäjät pääsevät lukemaan toisten tiedostoja [Ratkaistu]
Minulla on Ubuntussani (Karmic Koala) sellainen jännittävä ominaisuus, että pääsen vapaasti lukemaan toisen käyttäjäntunnuksen tietoja (Ilman sudoiluja). Ongelma ei haittaisi, ellei se toimisi myös toisin päin, eli lähes oikeudeton (Saa käyttää CD-asemaa!) vierastunnus voi lukea minun tiedostoja. Sudo ei onnek
Tapaus ratkaistu, mutta
- miten moinen tilanne pääsee syntymään ? Olitko esim. siirtänyt ko tiedostoja ? Esim koko home-osion ?
- ei riitä, että lopputulos korjataan, kyllä vian syntymekanismiin pitää päästä käsiksi ja estää ko. tilanne jatkossa !
Oppineita arvauksia tai jopa tietoa ?
https://bugs.launchpad.net/ubuntu/+bug/136743
https://bugs.launchpad.net/ubuntu/+source/adduser/+bug/48734
Ilmeisesti (ja valitettavasti) näyttäisi olevan oletus käytäntö.
-
Ihan Ubuntun perusasetus tuo on, että hakemistot luodaan oikeuksilla
rwxr-xr-x eli 755 eli omistajalla on kaikki oikeudet ja ryhmällä ja muilla on sekä luku- että suoritusoikeudet. Tiedostot samoin paitsi ilman suoritusoikeuksia.
"Epäluotettavia" vieraskäyttäjiä varten Ubuntussa on järjestelmän puolesta erikseen Guest tunnus , joka kätkee tältä tavallisen /home hakemiston. Muilta käyttäjiltä tiedostoihin pääsyn voi tarpeen mukaan estää olemassa olevien tiedostojen oikeuksia muuttamalla, umaskia eli luotavien tiedostojen oikeuksia muuttamalla tai kryptaamalla, johon Ubuntu tarjoaa salatun .Private hakemiston - ja onkos kokonaan salattu kotihakemistokin jo tullut vaihdoehdoksi...
muoks.
Tuosta vielä faktaa turvallisuuskäytännöistä:
https://wiki.ubuntu.com/SecurityTeam/Policies#Permissive Home Directory Access
tiedostojen oletusoikeuksiksi korjattu 644.
-
Ihan Ubuntun perusasetus tuo on, että hakemistot ja tiedostot luodaan oikeuksilla
rwxr-xr-x eli 755 eli omistajalla on kaikki oikeudet ja ryhmällä ja muilla on sekä luku- että suoritusoikeudet.
Joo ja onkos tuo ongelma?
Itse käyttäjän hakemistohan on suojattu eli näkyy muille 0000 oikeuksilla.
Eli minäkin kysyn, että miten tuollainen tilanne on päässyt syntymään? Onko joku antanut ko. kotihakemistolle execute (x) oikeuden?
-
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).
Eikö tässä vielä ryhmän jäsenet pääse lukemaan toistensa kansioita, jos oikein ymmärrän komento olisi chmod go-rwx tai chmod 700, jolloin vain kansion/tiedoston omistajalla on oikeudet
-
Joo ja onkos tuo ongelma?
Itse käyttäjän hakemistohan on suojattu eli näkyy muille 0000 oikeuksilla.
Eli minäkin kysyn, että miten tuollainen tilanne on päässyt syntymään? Onko joku antanut ko. kotihakemistolle execute (x) oikeuden?
Ei. Kotihakemistojen oletusoikeudet ovat 755 eli kaikki pääsevät siirtymään niihin ja lukemaan niitä. Asian voi tarkistaa ls -la /home tai vastaavalla käskyllä. Sitäpaitsi, jos oikeudet olisivat 0000 ei niihin pääse käsiksi kukaan ei edes omistaja.
;)
http://linux.fi/wiki/Tiedoston_oikeudet
Eikö tässä vielä ryhmän jäsenet pääse lukemaan toistensa kansioita, jos oikein ymmärrän komento olisi chmod go-rwx tai chmod 700, jolloin vain kansion/tiedoston omistajalla on oikeudet
Kyllä mutta ryhmä on oletuksena sama kuin omistaja, ls:n listauksessa siis tunnus:tunnus. Ryhmä pitää ensiksi vaihtaa ennenkuin syntyisi tietoturvaongelmaa ja silloin varmaan yleensä halutaan, että ryhmän jäsenillä on pääsy tiedostoihin...
-
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).
Eikö tässä vielä ryhmän jäsenet pääse lukemaan toistensa kansioita, jos oikein ymmärrän komento olisi chmod go-rwx tai chmod 700, jolloin vain kansion/tiedoston omistajalla on oikeudet
Ihan kuten haluat. Sehän riippuu siitä tarvitseeko sen ryhmän päästä niihin tiedostoihin käsiksi. Kuten anttimr sanoi tuossa ei ole mitään ongelmaa oletuksena, koska ko. ryhmä on saman niminen kuin käyttäjä ja ryhmän ainoa jäsen on se ko. käyttäjä.
-
Ihan kuten haluat. Sehän riippuu siitä tarvitseeko sen ryhmän päästä niihin tiedostoihin käsiksi. Kuten anttimr sanoi tuossa ei ole mitään ongelmaa oletuksena, koska ko. ryhmä on saman niminen kuin käyttäjä ja ryhmän ainoa jäsen on se ko. käyttäjä.
[/quote]
Sorry, kun olin lukenut ketjun läpi, oli myös unohtunut tuo ryhmän ainoa käyttäjä, kuitenkin itse olen useimmiten poistanut ryhmän oikeudet kotikansioihin ja luonut ryhmälle oman kotikansion... siinä vaiheessa, kun lisäilee ryhmään jäseniä ei aina välttämättä tule mieleen, että jollakin yksin yhteen ryhmään kuuluvalla kotikansio onkin avoin ryhmään lisätyille jäsenille...
Toisin sanoen, jos haluat turvallisen kotikansion, anna oikeudet vain kansion omistajalle...
-
Joo ja onkos tuo ongelma?
Itse käyttäjän hakemistohan on suojattu eli näkyy muille 0000 oikeuksilla.
Eli minäkin kysyn, että miten tuollainen tilanne on päässyt syntymään? Onko joku antanut ko. kotihakemistolle execute (x) oikeuden?
Ei. Kotihakemistojen oletusoikeudet ovat 755 eli kaikki pääsevät siirtymään niihin ja lukemaan niitä. Asian voi tarkistaa ls -la /home tai vastaavalla käskyllä. Sitäpaitsi, jos oikeudet olisivat 0000 ei niihin pääse käsiksi kukaan ei edes omistaja.
;)
Ai onko tosiaan noin. En ole nyt Ubuntulla (enkä ollut eilenkään). Työkone-Fedorassa tuo on oletuksena turvallinen.
Taitaa nyt vaihtua Ubuntu Fedoraan myös kotikoneella. Tämä on jo kolmas tietoturvahomma mikä mättää Ubuntussa ja Fedorassa ollut oletuksena kunnossa!
Ja siis kyllähän ne hakemistot omistajalle näkyy toisin, mutta niille muille 0000:na!!!!
Edit: sori siis loogisesti (käyttäjän kannalta) 0000, eli tietty ls -la ei edes näytä oktaaleja vaan drwx------