pristupova prava

Marian Cavojsky cavo+konf na cavo.sk
Neděle Květen 6 07:37:30 CEST 2007 

On Sun, May 06, 2007 at 12:29:33AM +0200, Bobby Gontarski wrote:
> 
> 
> > 1) po ulozeni, pouzite prikaz `chown'. (man chown)
> 
> to bohuzel nejde, potreboval bych to automaticky
> 
> > 2) ak staci zachovanie skupiny, tak na adresar nastavte sticky bit pre
> > skupinu (man chmod).
> 
> tak to jsem zkousel, ale nepomohlo, potrebuju opravdu uzivatele
> 
> jde o to, ze ten soubor se pak automaticky bude stahovat z ftp, a kdyz
> je skupina user ale uzivatel je root, tak mi to hodi chybu pristupu,
> kdyz pak zmenim i uzivatele vlastnika na user, tak uz to funguje.

Uff. Pristup cez prihlasovanie na FTP pod user-om a do jeho domovskeho
adresara zapisuje root? Myslim, ze by bolo na case uobit kontrolu, ci
tam nemate samozvaneho administratora a okamzite ukoncit experimenty.
Ved to je priamo pozvanka.

Asi by som okamzit uzavrel vsetky vstupne body do stroja. Zabezpecil si
aspon knizku 'Linux - hacking bez tajemnstvi' od Briana Hatcha, Jamesa
Leeho a Georga Kurtza a kym by som sa nepreluskal aspon do polovice, by
som na ten stroj pod root-om ani nesiahol.

Treba ist na to z opacneho konca:

Aplikacia, ktora bezi po root-om (je potrebne aby pod nim bezala?),
zapisuje len do adresara, kde niekto iny ako root nemoze zapisat. (Aspon
ciastocna ochrana proti nebezpecnym symlinkom.)

Tie data su citlive? Aspon trochu ano, ked ich chcete spristupnit, len
na znalost mena a hesla. Takze, stahovat sifrovane (FTP automaticky
vypadava z hry) Takze pouzit minimalne HTTPS s overovanim totoznosti (ak
potrebujete data len stiahnut a nic s nimi na serveri robit), alebo
SFTP (ak data potrebujete ne serveri po stiahnuti aj zrusit.)

Az v tomto boda by som sa zacal zaujimat o to, ci k tym datam bude mat
predmetny pouzivatel prava na pristup. A ten by mal byt rieseny tym, ze
predmetneho pouzivatela a root-a, by som dal do spolocnej skupiny
(naljepsie do takej, kde uz nikto iny nebude) nastavil aby sa
automaticky menila skupina pri zapise do adresara a potom nastavil
aplikacii spravny umask aby boli subory zapisovane tak, ze k nim bude
mat aj druhy clen skupiny ten spravny pozadovany pristup.

Trosku som sa rozpisal, dufam, ze to citatelne a ak mi tam nieko najde
nejaku chybu (logicku, na gramaticke sa vykaslite), bubem rad ak ma
upozorni.

P.S.: Skuste si v e-mailovom klientovi nastavit zalamovanie riadkov na
nieco pod 80 znakom (zauzivane je 72), Dlhsie riadky sa pri
nestrukturovanom texte zle citaju.

-- 
Marian

Další informace o konferenci Linux