Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


admin_grundlagen:dateirechte

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung
Vorherige Überarbeitung
admin_grundlagen:dateirechte [2020/12/08 08:55]
holger_jakobs [Befehle Dateirechte]
admin_grundlagen:dateirechte [2021/02/17 10:55] (aktuell)
ingo_wichmann [Übung: Weniger Rechte für Eigentümer und Gruppe]
Zeile 21: Zeile 21:
   * Dateien die Berechtigung ''​%%rw- r-- -w-%%''​ und   * Dateien die Berechtigung ''​%%rw- r-- -w-%%''​ und
   * Verzeichnisse die Berechtigung ''​rwx r-x -w-''​   * Verzeichnisse die Berechtigung ''​rwx r-x -w-''​
-bekommen+bekommen?
 ====== Befehle Dateirechte ====== ====== Befehle Dateirechte ======
 ^ Dateizugriffsrechte betrachten | ^ Dateizugriffsrechte betrachten |
Zeile 57: Zeile 57:
 ^ Allen Programmen das Ausführungsrecht nehmen | ^ Allen Programmen das Ausführungsrecht nehmen |
   find verzeichnis/​ -type f -perm /0111 -exec chmod a-x {} \;   find verzeichnis/​ -type f -perm /0111 -exec chmod a-x {} \;
 +  find verzeichnis/​ -type f -perm /0111 -print0 | xargs -0 chmod a-x
 | |
  
Zeile 98: Zeile 99:
  
 ====== Übung: Weniger Rechte für Eigentümer und Gruppe ====== ====== Übung: Weniger Rechte für Eigentümer und Gruppe ======
-Erzeuge eine Datei ''/​tmp/​datei356''​ mit folgendem Inhalt: +Erzeuge ein Verzeichnis ''/​srv/​open''​ mit großzügigen Berechtigungen:​ 
-<file txt /tmp/​datei356>​+  mkdir -m 777 /srv/open 
 +Erzeuge eine Datei ''/​srv/open/​datei356''​ mit folgendem Inhalt: 
 +<file txt /srv/open/​datei356>​
 #!/bin/bash #!/bin/bash
 echo executable echo executable
Zeile 105: Zeile 108:
  
 Setze die Berechtigungen zu ''​356'':​ Setze die Berechtigungen zu ''​356'':​
-  chmod 356 /tmp/datei356+  chmod 356 /srv/open/datei356
  
 Wer darf was? Wer darf was?
Zeile 114: Zeile 117:
  
 Tip: Tip:
-Das Schreiben von Dateien kann man zerstörungsfrei mit +Das Lesen (''​r''​) von Dateien kann man mit 
-  >> /tmp/datei356+  head -0 /​srv/​open/​datei356 
 +testen. ((''​head -0''​ zeigt die ersten 0 Zeilen, also nichts, aber öffnet die Datei. Im Fehlerfall erscheint eine Meldung. )) 
 +Das Schreiben ​(''​w''​) ​von Dateien kann man zerstörungsfrei mit 
 +  >> /srv/open/datei356
 testen. ​ testen. ​
-Das Lesen von Dateien kann man mit 
-  tail /​tmp/​datei356 
-testen. 
 (( ((
   sysctl fs.protected_regular   sysctl fs.protected_regular
Zeile 128: Zeile 131:
 https://​www.kernel.org/​doc/​Documentation/​sysctl/​fs.txt:​ https://​www.kernel.org/​doc/​Documentation/​sysctl/​fs.txt:​
 //This protection is similar to protected_fifos,​ but it //This protection is similar to protected_fifos,​ but it
-avoids writes to an attacker-controlled regular file, where a program +avoids writes to an attacker-controlled regular file, where a program expected to create one.
-expected to create one.+
  
 When set to "​0",​ writing to regular files is unrestricted. When set to "​0",​ writing to regular files is unrestricted.
  
-When set to "​1"​ don't allow O_CREAT open on regular files that we +When set to "​1"​ don't allow O_CREAT open on regular files that we don't own in world writable sticky directories,​ unless they are owned by the owner of the directory.
-don't own in world writable sticky directories,​ unless they are +
-owned by the owner of the directory.+
  
 When set to "​2"​ it also applies to group writable sticky directories.//​ When set to "​2"​ it also applies to group writable sticky directories.//​
- 
 )) ))
 +Das Ausführen (''​x''​) kann man testen, in dem man  
 +  /​srv/​open/​datei356 
 +ausführt.
 ====== Beispiel: Gruppenzugehörigkeiten kleben am Prozess länger als man denkt ====== ====== Beispiel: Gruppenzugehörigkeiten kleben am Prozess länger als man denkt ======
   groupadd projekt   groupadd projekt
   useradd -m -G projekt iw   useradd -m -G projekt iw
   touch /tmp/datei   touch /tmp/datei
-  chown root:​projekt+  chown root:​projekt ​/tmp/datei
   chmod g+w /tmp/datei   chmod g+w /tmp/datei
   su - iw   su - iw
Zeile 163: Zeile 164:
   ls -l /home   ls -l /home
  
-Daher sollte man nach dem Löschen einer Benutzerkennung sämtliche Dateien, die diesem Benutzer gehörten, als ''​root''​ übernehmen oder einem anderen, für diesen Zweck erstellten technischen Benutzer übereignen.+Daher sollte man vor oder nach dem Löschen einer Benutzerkennung sämtliche Dateien, die diesem Benutzer gehörten, als ''​root''​ übernehmen oder einem anderen, für diesen Zweck erstellten technischen Benutzer übereignen.
 ====== Beispiel: SUID-Bit Dateien finden und SUID-Bit dauerhaft entfernen ====== ====== Beispiel: SUID-Bit Dateien finden und SUID-Bit dauerhaft entfernen ======
 SUID-Bit Dateien finden (als root): SUID-Bit Dateien finden (als root):
admin_grundlagen/dateirechte.1607417701.txt.gz · Zuletzt geändert: 2020/12/08 08:55 von holger_jakobs