Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Unzureichende Rechte in /home/pub/**

1 view
Skip to first unread message

Olaf Klischat

unread,
Dec 8, 2005, 7:23:02 PM12/8/05
to
Unterhalb von /home/pub befinden sich buchstäblich tausende von
Verzeichnissen, deren Rechte so gesetzt sind, dass nur der jeweilige
Ersteller Zugriff hat -- darunter einige sehr ärgerliche Fälle wie
etwa /home/pub/lib/perl5/, wo verhindert wird, dass die Benutzer die
Perl-Installation benutzen oder um neue Module erweitern können.

So wie ich es verstehe, ist /home/pub gedacht für Software, die von
allen genutzt werden können soll, nicht fuer quotasparende
Privatinstallationen.

Wo es doch schon einen Cronjob gibt, der die Gruppenzugehörigkeit der
Dateien in /home/pub auf "pubadmn" setzt, könnte man doch noch einen
schreiben, der die Gruppenrechte auf mindestens "rw-" bzw. (bei
Verzeichnissen) "rwx" setzt (und bei Dateien das "x" setzt, falls es
in den Benutzerrechten stand).

Olaf

Florian Streibelt

unread,
Dec 12, 2005, 4:50:20 PM12/12/05
to
Olaf Klischat wrote:
> Wo es doch schon einen Cronjob gibt, der die Gruppenzugehörigkeit der
> Dateien in /home/pub auf "pubadmn" setzt, könnte man doch noch einen
> schreiben, der die Gruppenrechte auf mindestens "rw-" bzw. (bei
> Verzeichnissen) "rwx" setzt (und bei Dateien das "x" setzt, falls es
> in den Benutzerrechten stand).
>
> Olaf

damit dann fein _jeder_ die binaries gegen trojaner austauschen kann und
nicht nachvollzogen werden kann wer die Datei da hingelegt/geändert hat? Hmmm.
Irgendwie mag ich das gesamte Konzept von /home/pub/bin nicht....

Olaf Klischat

unread,
Dec 31, 2005, 11:14:45 AM12/31/05
to
Florian Streibelt <ne...@F-Streibelt.de> writes:

> Olaf Klischat wrote:
>> Wo es doch schon einen Cronjob gibt, der die Gruppenzugehörigkeit der
>> Dateien in /home/pub auf "pubadmn" setzt, könnte man doch noch einen
>> schreiben, der die Gruppenrechte auf mindestens "rw-" bzw. (bei
>> Verzeichnissen) "rwx" setzt (und bei Dateien das "x" setzt, falls es
>> in den Benutzerrechten stand).
>>
>> Olaf
>
> damit dann fein _jeder_ die binaries gegen trojaner austauschen kann und
> nicht nachvollzogen werden kann wer die Datei da hingelegt/geändert hat?

Das wird man in Solaris bestimmt auditen können...

In /home/pub geht eindeutig Komfort über Sicherheit. Man muss es ja
nicht benutzen. So wie es jetzt ist, ist es jedenfalls aus den
genannten Gründen nicht schön.

Olaf

0 new messages