Kirjoittaja Aihe: Käyttäjät pääsevät lukemaan toisten tiedostoja [Ratkaistu]  (Luettu 4077 kertaa)

aku506

  • Käyttäjä
  • Viestejä: 356
    • Profiili
Minulla on Ubuntussani (Karmic Koala) sellainen jännittävä ominaisuus, että pääsen vapaasti lukemaan toisen käyttäjäntunnuksen tietoja (Ilman sudoiluja). Ongelma ei haittaisi, ellei se toimisi myös toisin päin, eli lähes oikeudeton (Saa käyttää CD-asemaa!) vierastunnus voi lukea minun tiedostoja. Sudo ei onneksi toimi vierastunnuksella. Osaako joku auttaa?
« Viimeksi muokattu: 09.03.10 - klo:20.43 kirjoittanut aku506 »

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #1 : 09.03.10 - klo:20.14 »
Koodia: [Valitse]
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).

Lisää oikeuksista: http://linux.fi/wiki/Tiedostojen_oikeudet

EDIT: Poistin sudon alusta. Herjaa enemmän jos ei ole sudoa.
« Viimeksi muokattu: 09.03.10 - klo:20.23 kirjoittanut Tomppeli »
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

aku506

  • Käyttäjä
  • Viestejä: 356
    • Profiili
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #2 : 09.03.10 - klo:20.20 »
Koodia: [Valitse]
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).

Lisää oikeuksista: http://linux.fi/wiki/Tiedostojen_oikeudet
Ei toimi. Herjaa vain: ”/home/aku506/.gvfs” ei voi käsitellä: Lupa evätty

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #3 : 09.03.10 - klo:20.22 »
Koodia: [Valitse]
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).

Lisää oikeuksista: http://linux.fi/wiki/Tiedostojen_oikeudet
Ei toimi. Herjaa vain: ”/home/aku506/.gvfs” ei voi käsitellä: Lupa evätty


Niin siitä herjaa, mutta meneekö ne muut tiedostot piiloon? Se on ainut jonka oikeuksia et voi muuttaa.

PS. Tuli mieleen, että tuossa komennossa ei tarvitsisi edes sudoa. ::)
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

SuperOscar

  • Käyttäjä
  • Viestejä: 4065
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #4 : 09.03.10 - klo:20.22 »
Kannattaa myös asettaa umask niin, että uudetkin tiedostot saavat halutut oikeudet. Käytännössä tämä tapahtuu muokkaamalla /etc/login.defs-tiedostoa. Etsi sieltä UMASK-rivi, poista se kommenteista (ts. poista rivin alusta #-merkki) ja muuta se esim. muotoon:

Koodia: [Valitse]
UMASK           077
mikä tarkoittaisi ’kaikki oikeudet omistajalle, muille ei mitään’.
pöytäkone 1, NUC: openSUSE Leap 15.6, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; RPi 1: FreeBSD 14-RELEASE; RPi 2: LibreELEC 11

aku506

  • Käyttäjä
  • Viestejä: 356
    • Profiili
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #5 : 09.03.10 - klo:20.29 »


Niin siitä herjaa, mutta meneekö ne muut tiedostot piiloon? Se on ainut jonka oikeuksia et voi muuttaa.

PS. Tuli mieleen, että tuossa komennossa ei tarvitsisi edes sudoa. ::)
Toimii. Ei vain kestänyt sekunttiakaan, joten oletin tietysti heti, että ei toimi. Ja onhan tuohon "sudottamiseen" jo tottunut.

Kannattaa myös asettaa umask niin, että uudetkin tiedostot saavat halutut oikeudet. Käytännössä tämä tapahtuu muokkaamalla /etc/login.defs-tiedostoa. Etsi sieltä UMASK-rivi, poista se kommenteista (ts. poista rivin alusta #-merkki) ja muuta se esim. muotoon:

Koodia: [Valitse]
UMASK           077
mikä tarkoittaisi ’kaikki oikeudet omistajalle, muille ei mitään’.
Tehty.

Lasse.

  • Käyttäjä
  • Viestejä: 1668
  • Techjunkie.
    • Profiili
    • Liquid Flower Games
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #6 : 09.03.10 - klo:20.38 »
Jos ongelma ratkesi niin olethan hyvä ja muokkaat ensimmäisen viestin otsikkoon (Ratkaistu) perään :)
Kone 1: Intel Core i5 2500K, 8GB DDR3, nVidia GTX 560 Ti 1GB, 2x1TB & 1x 250GB HDD, Windows 7 & Arch
Kone 2: Lenovo Ideapad Z370 (i5-2410M, 4GB RAM & GeForce 410M) Chakra
Google LG Nexus 4 (ParanoidAndroid)
Linuxia noin vuodesta 2004.

aku506

  • Käyttäjä
  • Viestejä: 356
    • Profiili
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #7 : 09.03.10 - klo:20.44 »
Jos ongelma ratkesi niin olethan hyvä ja muokkaat ensimmäisen viestin otsikkoon (Ratkaistu) perään :)

TEHTY

olle

  • Käyttäjä
  • Viestejä: 120
    • Profiili
Käyttäjät pääsevät ... jatkoa aiheesta
« Vastaus #8 : 10.03.10 - klo:14.59 »

Lainaus
aku506: Käyttäjät pääsevät lukemaan toisten tiedostoja [Ratkaistu]

Minulla on Ubuntussani (Karmic Koala) sellainen jännittävä ominaisuus, että pääsen vapaasti lukemaan toisen käyttäjäntunnuksen tietoja (Ilman sudoiluja). Ongelma ei haittaisi, ellei se toimisi myös toisin päin, eli lähes oikeudeton (Saa käyttää CD-asemaa!) vierastunnus voi lukea minun tiedostoja. Sudo ei onnek

Tapaus ratkaistu, mutta

- miten moinen tilanne pääsee syntymään ? Olitko esim. siirtänyt ko tiedostoja ? Esim koko home-osion ?

- ei riitä, että lopputulos korjataan, kyllä vian syntymekanismiin pitää päästä käsiksi ja estää ko. tilanne jatkossa !

Oppineita arvauksia tai jopa tietoa ?

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Käyttäjät pääsevät ... jatkoa aiheesta
« Vastaus #9 : 10.03.10 - klo:15.32 »

Lainaus
aku506: Käyttäjät pääsevät lukemaan toisten tiedostoja [Ratkaistu]

Minulla on Ubuntussani (Karmic Koala) sellainen jännittävä ominaisuus, että pääsen vapaasti lukemaan toisen käyttäjäntunnuksen tietoja (Ilman sudoiluja). Ongelma ei haittaisi, ellei se toimisi myös toisin päin, eli lähes oikeudeton (Saa käyttää CD-asemaa!) vierastunnus voi lukea minun tiedostoja. Sudo ei onnek

Tapaus ratkaistu, mutta

- miten moinen tilanne pääsee syntymään ? Olitko esim. siirtänyt ko tiedostoja ? Esim koko home-osion ?

- ei riitä, että lopputulos korjataan, kyllä vian syntymekanismiin pitää päästä käsiksi ja estää ko. tilanne jatkossa !

Oppineita arvauksia tai jopa tietoa ?
https://bugs.launchpad.net/ubuntu/+bug/136743
https://bugs.launchpad.net/ubuntu/+source/adduser/+bug/48734
Ilmeisesti (ja valitettavasti) näyttäisi olevan oletus käytäntö.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

anttimr

  • Käyttäjä
  • Viestejä: 1625
    • Profiili
Ihan Ubuntun perusasetus tuo on, että hakemistot luodaan oikeuksilla  
rwxr-xr-x eli 755 eli omistajalla on kaikki oikeudet ja ryhmällä ja muilla on sekä luku- että suoritusoikeudet. Tiedostot samoin paitsi ilman suoritusoikeuksia.

"Epäluotettavia" vieraskäyttäjiä varten Ubuntussa on järjestelmän puolesta erikseen Guest tunnus , joka kätkee tältä tavallisen /home hakemiston. Muilta käyttäjiltä tiedostoihin pääsyn voi tarpeen mukaan estää olemassa olevien tiedostojen oikeuksia muuttamalla, umaskia eli luotavien tiedostojen oikeuksia muuttamalla tai kryptaamalla, johon Ubuntu tarjoaa salatun .Private hakemiston - ja onkos kokonaan salattu kotihakemistokin jo tullut vaihdoehdoksi...
 
muoks.
Tuosta vielä faktaa turvallisuuskäytännöistä:
https://wiki.ubuntu.com/SecurityTeam/Policies#Permissive Home Directory Access

tiedostojen oletusoikeuksiksi korjattu 644.
« Viimeksi muokattu: 10.03.10 - klo:18.54 kirjoittanut anttimr »
Ubuntu 12.10 Quantal Quetzal

odysseus

  • Vieras
Ihan Ubuntun perusasetus tuo on, että hakemistot ja tiedostot luodaan oikeuksilla  
rwxr-xr-x eli 755 eli omistajalla on kaikki oikeudet ja ryhmällä ja muilla on sekä luku- että suoritusoikeudet.

Joo ja onkos tuo ongelma?
Itse käyttäjän hakemistohan on suojattu eli näkyy muille 0000 oikeuksilla.

Eli minäkin kysyn, että miten tuollainen tilanne on päässyt syntymään? Onko joku antanut ko. kotihakemistolle execute (x) oikeuden?

murmur

  • Käyttäjä
  • Viestejä: 19
    • Profiili
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #12 : 11.03.10 - klo:11.17 »
Koodia: [Valitse]
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).

Eikö tässä vielä  ryhmän jäsenet pääse lukemaan toistensa kansioita, jos oikein ymmärrän komento olisi chmod go-rwx tai chmod 700, jolloin vain kansion/tiedoston omistajalla on oikeudet

anttimr

  • Käyttäjä
  • Viestejä: 1625
    • Profiili
Lainaus
Joo ja onkos tuo ongelma?
Itse käyttäjän hakemistohan on suojattu eli näkyy muille 0000 oikeuksilla.

Eli minäkin kysyn, että miten tuollainen tilanne on päässyt syntymään? Onko joku antanut ko. kotihakemistolle execute (x) oikeuden?

Ei. Kotihakemistojen oletusoikeudet ovat 755 eli kaikki pääsevät siirtymään niihin ja lukemaan niitä. Asian voi tarkistaa ls -la /home tai vastaavalla käskyllä. Sitäpaitsi, jos oikeudet olisivat 0000 ei niihin pääse käsiksi kukaan ei edes omistaja.

;)
http://linux.fi/wiki/Tiedoston_oikeudet

Lainaus
Eikö tässä vielä  ryhmän jäsenet pääse lukemaan toistensa kansioita, jos oikein ymmärrän komento olisi chmod go-rwx tai chmod 700, jolloin vain kansion/tiedoston omistajalla on oikeudet

Kyllä mutta ryhmä on oletuksena sama kuin omistaja, ls:n listauksessa siis tunnus:tunnus. Ryhmä pitää ensiksi vaihtaa ennenkuin syntyisi tietoturvaongelmaa ja silloin varmaan yleensä halutaan, että ryhmän jäsenillä on pääsy tiedostoihin...
Ubuntu 12.10 Quantal Quetzal

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #14 : 11.03.10 - klo:11.49 »
Koodia: [Valitse]
sudo chmod -R o-rwx ~/Poistaa (-) muilta (o) kaikki oikeudet (rwx). Tuolla voi kestää jonkin aikaa ja se saattaa ilmoittaa jotain joistakin hakemistoista (ainakin ~/.gvfs).

Eikö tässä vielä  ryhmän jäsenet pääse lukemaan toistensa kansioita, jos oikein ymmärrän komento olisi chmod go-rwx tai chmod 700, jolloin vain kansion/tiedoston omistajalla on oikeudet

Ihan kuten haluat. Sehän riippuu siitä tarvitseeko sen ryhmän päästä niihin tiedostoihin käsiksi. Kuten anttimr sanoi tuossa ei ole mitään ongelmaa oletuksena, koska ko. ryhmä on saman niminen kuin käyttäjä ja ryhmän ainoa jäsen on se ko. käyttäjä.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

murmur

  • Käyttäjä
  • Viestejä: 19
    • Profiili
Vs: Käyttäjät pääsevät lukemaan toisten tiedostoja
« Vastaus #15 : 11.03.10 - klo:21.41 »
Ihan kuten haluat. Sehän riippuu siitä tarvitseeko sen ryhmän päästä niihin tiedostoihin käsiksi. Kuten anttimr sanoi tuossa ei ole mitään ongelmaa oletuksena, koska ko. ryhmä on saman niminen kuin käyttäjä ja ryhmän ainoa jäsen on se ko. käyttäjä.
[/quote]

Sorry, kun olin lukenut ketjun läpi, oli myös unohtunut tuo ryhmän ainoa käyttäjä, kuitenkin itse olen useimmiten poistanut ryhmän oikeudet kotikansioihin ja luonut ryhmälle oman kotikansion... siinä vaiheessa, kun lisäilee ryhmään jäseniä ei aina välttämättä tule mieleen, että jollakin yksin yhteen ryhmään kuuluvalla kotikansio onkin avoin ryhmään lisätyille jäsenille...

Toisin sanoen, jos haluat turvallisen kotikansion, anna oikeudet vain kansion omistajalle...
« Viimeksi muokattu: 11.03.10 - klo:21.46 kirjoittanut murmur »

odysseus

  • Vieras
Lainaus
Joo ja onkos tuo ongelma?
Itse käyttäjän hakemistohan on suojattu eli näkyy muille 0000 oikeuksilla.

Eli minäkin kysyn, että miten tuollainen tilanne on päässyt syntymään? Onko joku antanut ko. kotihakemistolle execute (x) oikeuden?

Lainaus
Ei. Kotihakemistojen oletusoikeudet ovat 755 eli kaikki pääsevät siirtymään niihin ja lukemaan niitä. Asian voi tarkistaa ls -la /home tai vastaavalla käskyllä. Sitäpaitsi, jos oikeudet olisivat 0000 ei niihin pääse käsiksi kukaan ei edes omistaja.
;)

Ai onko tosiaan noin. En ole nyt Ubuntulla (enkä ollut eilenkään). Työkone-Fedorassa tuo on oletuksena turvallinen.
Taitaa nyt vaihtua Ubuntu Fedoraan myös kotikoneella. Tämä on jo kolmas tietoturvahomma mikä mättää Ubuntussa ja Fedorassa ollut oletuksena kunnossa!

Ja siis kyllähän ne hakemistot omistajalle näkyy toisin, mutta niille muille 0000:na!!!!

Edit: sori siis loogisesti (käyttäjän kannalta) 0000, eli tietty ls -la ei edes näytä oktaaleja vaan drwx------

« Viimeksi muokattu: 12.03.10 - klo:17.48 kirjoittanut odysseus »