Käyttäjien oikeudet

[Cvg]

Elikkäs.. Serveriä tässä olen laittamassa pystyyn ssh-yhteyksiä varten ja käyttäjien oikeudet pitäisi säätää ennen sitä oikein.
Tällä hetkellä käyttäjät eivät voi nähdä home-kansion sisältöä, mutta näkevät juuri-hakemiston. Miten pitäisi toimia, jotta kaikki eivät menisi kuitenkaan sekaisin. Chmodeilla voi vahingossa chmodata kaikki hakemiston alla olevat hakemistot ja tiedostot.
Minkä ohjelmien käyttö kannattaa estää normaaleilta käyttäjiltä? Tällä hetkellä olen estänyt esim. pythonin.

Pystyvätkö normaalikäyttäjät sotkemaan koneen omilla skripteillään?

[janne]

Elikkäs.. Serveriä tässä olen laittamassa pystyyn ssh-yhteyksiä varten ja käyttäjien oikeudet pitäisi säätää ennen sitä oikein.

eivätkös ne sitten ole oletuksena oikein?

Tällä hetkellä käyttäjät eivät voi nähdä home-kansion sisältöä, mutta näkevät juuri-hakemiston. Miten pitäisi toimia, jotta kaikki eivät menisi kuitenkaan sekaisin. Chmodeilla voi vahingossa chmodata kaikki hakemiston alla olevat hakemistot ja tiedostot.

mitä olet tehnyt ja mitä tarkalleenottaen haluaisit tehdä?

Minkä ohjelmien käyttö kannattaa estää normaaleilta käyttäjiltä? Tällä hetkellä olen estänyt esim. pythonin.

miksi pythonin käyttö pitäisi estää?

Pystyvätkö normaalikäyttäjät sotkemaan koneen omilla skripteillään?

jos oikeudet ovat kunnossa (kuten oletuksena pitäisi olla), ei tavallisen käyttäjän pitäisi pystyä kirjoittamaan minnekään muualle kuin omaan kotihakemistoonsa ja mahdollisesti jaettuun hakemistoon, arkaluontoiset tiedostot ovat tavallisten käyttäjien ulottumattomissa ja jollei järjestelmässä ole vakavia paikallisia tietoturva-aukkoja, niin kaiken pitäisi olla suhteellisen turvallista. sudoja ei pidä tietenkään antaa ja salasanat kannattaa valita hyvin.

ainoa miten tavallinen käyttäjä voi tuollaisessa tilanteessa haitata koneen toimintaa on kuluttamalla kaiken prosessoriajan.

[Cvg]

Itseasiassa en tiedä pythonista kovin paljoa, mutta joku saattaisi tehdä ohjelman joka vie paljon resursseja.
Haluaisin siis että normaalikäyttäjät eivät näe esim. scp:tä käyttäessään mitä juuri-hakemisto sisältää (Mitkä oikeudet? Millä tavalla teen chmodauksen?).

[DtW]

Elikkäs.. Serveriä tässä olen laittamassa pystyyn ssh-yhteyksiä varten ja käyttäjien oikeudet pitäisi säätää ennen sitä oikein.

Ei pitäisi olla mitään haittaa, vaikka käyttäjät tutkivat järjestelmän toimintaa, seikkailevat hakemistoissa ja ajavat ohjelmia. He voivat kirjoittaa vain omaan kotihakemistoonsa ja käynnistää prosesseja omilla oikeuksillaan.

Lisäys: Ohjekirja Securing Debian Manual on hyödyllistä luettavaa, kun täytyy tarkemmin miettiä koneen tietoturvaa.

Pystyvätkö normaalikäyttäjät sotkemaan koneen omilla skripteillään?

Käyttäjät pystyvät kaatamaan koneen niin sanotulla fork-pommilla eli ohjelmalla, joka käynnistää loputtomasti uusia prosesseja, kunnes kone on jumissa. Yksinkertainen fork-pommi on esimerkiksi seuraava sh/bash-funktio:

Koodia: [Valitse]

:(){ :|:& };:

Käyttäjän prosessien määrää voi rajoittaa tiedoston /etc/security/limits.conf avulla. Sinne esimerkiksi seuraava rivi:

Koodia: [Valitse]

*               hard    nproc           100

Tällöin käyttäjät voivat käynnistää vain 100 prosessia.

[janne]

Itseasiassa en tiedä pythonista kovin paljoa, mutta joku saattaisi tehdä ohjelman joka vie paljon resursseja.

voisi kyllä, mutta sen voi tehdä halutessaan aivan yhtä hyvin bashin omilla komennoilla tai sinne voi ladata käännetyn ohjelman joka tekee saman. jos kotihakemistot ovat omalla osiollaan, niin ne voi mountata tietysti niin, että omissa kotihakemistoissa olevia ohjelmia ei pysty suorittamaan

Haluaisin siis että normaalikäyttäjät eivät näe esim. scp:tä käyttäessään mitä juuri-hakemisto sisältää (Mitkä oikeudet? Millä tavalla teen chmodauksen?).

kaikkien *NIX koneiden juurihakemisto on jotakuinkin samanlainen, miksi se pitäisi piilottaa? ei siellä kuitenkaan mitään kiinnostavaa ole.

tosin chmodilla tuo ei edes onnistuisi, vaan ssh-sessiot pitäisi käynnistää esim. chrootin sisällä rajoitetussa ympäristössä, mutta äkkiseltään en keksi tuohon paljoakaan tarvetta.

[ilkkak]

Itseasiassa en tiedä pythonista kovin paljoa, mutta joku saattaisi tehdä ohjelman joka vie paljon resursseja.

voisi kyllä, mutta sen voi tehdä halutessaan aivan yhtä hyvin bashin omilla komennoilla tai sinne voi ladata käännetyn ohjelman joka tekee saman. jos kotihakemistot ovat omalla osiollaan, niin ne voi mountata tietysti niin, että omissa kotihakemistoissa olevia ohjelmia ei pysty suorittamaan

Haluaisin siis että normaalikäyttäjät eivät näe esim. scp:tä käyttäessään mitä juuri-hakemisto sisältää (Mitkä oikeudet? Millä tavalla teen chmodauksen?).

kaikkien *NIX koneiden juurihakemisto on jotakuinkin samanlainen, miksi se pitäisi piilottaa? ei siellä kuitenkaan mitään kiinnostavaa ole.

tosin chmodilla tuo ei edes onnistuisi, vaan ssh-sessiot pitäisi käynnistää esim. chrootin sisällä rajoitetussa ympäristössä, mutta äkkiseltään en keksi tuohon paljoakaan tarvetta.

Haluaisin estää käyttäjiä selaamasta toisten käyttäjien kotikansioita. Oletuksena näyttää olevan drwxr-xr-x. Mistä muutos tehdään? (chmod siis toimii, mutta vain seuraavaan järjestelmän tarkistukseen asti)

Vastaavasti haluaisin muuttaa /dev/lp0  omistajuuden root:root asetuksesta root:lp, jotta cups ja käyttäjät pääsisivät  rinnakkaisportin kirjoittimeen käsiksi. Tässäkin järjestelmä muuttaa asetuksen automaattisesti ajallaan takaisin. Mistä muutos (/etc/udev/rules/40.. ?) tehdään.

[janne]

Haluaisin estää käyttäjiä selaamasta toisten käyttäjien kotikansioita. Oletuksena näyttää olevan drwxr-xr-x. Mistä muutos tehdään? (chmod siis toimii, mutta vain seuraavaan järjestelmän tarkistukseen asti)

siis kyllä tuohon pitäisi chmodin riittää aivan hyvin. oikeudet voisivat olla vaikka 711 (rwx--x--x) jos kotihakemistossa on hakemisto henkilökohtaisille kotisivuille tai 700 (rwx------) jos kaikki pääsy halutaan estää. en oikein ymmärrä mikä järjestelmä tarkistus noita oikeuksia muka muuttelisi.

Vastaavasti haluaisin muuttaa /dev/lp0  omistajuuden root:root asetuksesta root:lp, jotta cups ja käyttäjät pääsisivät  rinnakkaisportin kirjoittimeen käsiksi. Tässäkin järjestelmä muuttaa asetuksen automaattisesti ajallaan takaisin. Mistä muutos (/etc/udev/rules/40.. ?) tehdään.

mitä järjestelmää tarkaalleen ottaen ajat? minulla udevin säännöissä ja itse dev-nodessakin oikeudet ovat nimenomaan root:lp.

[Squirrel]

siis kyllä tuohon pitäisi chmodin riittää aivan hyvin. oikeudet voisivat olla vaikka 711 (rwx--x--x) jos kotihakemistossa on hakemisto henkilökohtaisille kotisivuille tai 700 (rwx------) jos kaikki pääsy halutaan estää. en oikein ymmärrä mikä järjestelmä tarkistus noita oikeuksia muka muuttelisi.

Tämän määrityksenhän voi tehdä /etc/adduser.conf:n, jolloinka sitä ei tarvitse sitten tehdä erikseen.

[ilkkak]

siis kyllä tuohon pitäisi chmodin riittää aivan hyvin. oikeudet voisivat olla vaikka 711 (rwx--x--x) jos kotihakemistossa on hakemisto henkilökohtaisille kotisivuille tai 700 (rwx------) jos kaikki pääsy halutaan estää. en oikein ymmärrä mikä järjestelmä tarkistus noita oikeuksia muka muuttelisi.

Tämän määrityksenhän voi tehdä /etc/adduser.conf:n, jolloinka sitä ei tarvitse sitten tehdä erikseen.

Siis uusille käyttäjille. Minulla on jo n. 1000 tunnusta aikaisemmasta mandrivasta riesanani .
Käyttis on edgy.