Welche Dirs und Files mit chmod auf 700?

[Who.]

Hallo liebe Fbsd Community,

ich beschäftige mich jetzt seit einigen Wochen mit Fbsd (vorher nie mit Linux gearbeitet) und komm auch ganz gut zurecht, nutze Bücher und die Man-Pages, musste bis jetzt also noch nichts doofes fragen und hoffe das bleibt auch so

Klar /root ist auf 700 per chmod, /etc/crontab ist auf 600, in home ist jedes Dir auf 700

Alles rc.* mäßige ist auf 750 und master.passwd natürlich auf 600.

Nun frage ich mich, was sollte noch auf 600 oder 700 stehen, damit kein normaler User (davon sollen einige auf die Kiste) nichts kaputtmachen kann und auch keine sensiblen Infos bekommt, mit denen man evtl. Schaden anrichten kann.

Vielleicht ist das auch ne blöde Frage, aber danke schonmal im voraus!

Viele Grüße

 

[moonlook]

man security?

 

[Maledictus]

die standardeinstellungen sind doch gut!
vor allem die vom system, also alles außer /home.
und da sollte jeder benutzer wissen was er will.

man sollte sehr vorsichtig sein, und genau wissen was man tut, denn sowohl restriktivere als auch liberalere zugriffsrechte sind eine quelle von fehlern oder sicherheitslücken.

 

[Who.]

@moonlok
Also man security ist zwar ne gute Lektüre sagt aber nicht viel aus über Zugriffsrechte, die man noch setzen kann.

@Maledictus
Hmm standardmäßig sind die ganten rc. Files für alle lesbar, findest Du das richtig das jeder "kleine" User die komplette Systemconfig lesen kann?

Würde gerne wissen was ich noch komplett vom User abriegeln kann.
Meinst Du, dadurch können neue Sicherheitslücken enstehen?

 

[Maledictus]

ja, das finde ich in ordnung so, da sollten eh keine sachen drin stehen die ein user nicht auch so erfahren kann.

neue sicherheitslücken entstehen durch strengere rechte wohl nicht, aber wenn du nicht gut aufpasst funktionieren manche programme nicht mehr oder nicht mehr richtig.
glaubs mir, ich war auch mal auf dem trip
außerdem habe ich schon des öfteren gesehen, dass leute die zugriffsrechte falsch setzen und man dadurch leicht ins system kommt.

just my 2 cents

 

[Who.]

Durch ein chmod 700 sollte man eigentlich nicht leichter ins System kommen, hoffe ich zumindest

Wie schaut es mit den Sgid/Suid Sachen aus, habe gelesen da gibt es größere Sicherheitslücken? Was sollte ich daovn deaktivieren.

 

[MrFixit]

Entweder man weiss welche Rechte sinnvoll sind oder man laesst es bleiben. Durch so ein gefaehrliches Halbwissen macht man mehr kaputt als ganz. Du sagtest ja, dass du anscheinend neu bist, was Unix anbelangt. Und da fallen gute Administratoren nun mal nicht vom Himmel, sondern die werden gute Admisitratoren durch jahrelange Erfahrung (und ja, jeder ist mit solchen Spielereien schonmal auf die Nase gefallen, aber bitte nicht an einem Produktivsystem herumexperimentieren!)

Und in den rc-Skripten steht nun wirklich keinerlei schuetzenswerter Information drin (btw in /root eigentlich auch nicht!). Das mit den Home-Verzeichnissen muss jeder User selbst entscheiden (wobei die meisten garnicht wissen worum es geht). Ich setze da zwar fast ueberall 700 ein (Better safe than sorry) aber dann wird $HOME/public_html schonmal wieder unbrauchbar....

 

[Who.]

Hmm warum gefährliches Halbwissen? Das ding ist noch lange nicht produktiv und irgendwann hat jeder mal mit Halbwissen angefangen oder nicht ?
Auf der Kiste wird nicht jeder User sein Verzeichnis über html anzeigen lassen können, er kann nur per Shell drauf

Und ich will es gern halt so sicher wie möglich machen, ob in rc nun was wirklich wichtiges drinsteht ist da eigentlich egal

 

[Maledictus]

http://www.bsdforen.de/forums/showthread.php?s=&threadid=1434

das stehen infos drin, wie man die benutzer in ihr home einsperrt, das ist doch mal sinnvoller als der ganze käse mit chmod.

aso, ich hab meine home immer 755, darin dann aber ein verzeichniss private (700) und eins public (755), und ab da gehts dann erst los mit daten.
so können sogar alle anderen sehen, was für dotfiles ich habe