chmod und evt. quota für User setzen?!

N

net-spacy

New Member
Schoenen guten abend,

wir haben gestern unser neues System (Debian 3.1 Sarge) uebergeben bekommen. Nun mussten wir feststellen, das alle User bis ins /root kommen. Unter Suse etc. bin ich es gewohnt, das der User keine Unterordner, die Ihn nicht gehoeren betreten kann. Somit hat der User jetzt leider Rechte, alle Daten von "fremden" User auszulesen! Gibt es da eine moeglichkeit, das man dieses für Jeden User sperren kann? So das jeder User nur in sein "home-Verzeichnis" sein kann? Einige Themen aus diesem Forum habe ich mir duchgelesen, allerdings funktioniert das mit chmod / chown nicht richtig - vll. mach ich auch nur was falsch.

2. Problem - ich bekomme Quota nicht installiert - unter Debian ist dies ja dank dem "Kernel" laut aussagen verschiedener Personen nicht moeglich, so einfach Quota fuer User zu aktivieren, trozdem moechte ich hiermit nochmal fragen, ob es eine alternative unter Debian gibt, damit man Kunden eine bestimmte Quota zuordnet..

Vielen Dank schonmal...

MFG

Net-Spacy
 
Du kannst durch das Rechtesystem Ordner nur dem Besitzer zugänglich zu machen. Gibt dem Ordner die Rechte 700 dann darf nur der Besitzer den Ordner betreten. Für Dateien 600 oder bei Ausführbaren Dateien 700. Bedenke das du dem /home/ Ordner allen (die letzte Zahl) das Schreibrecht enziehst, sonst können Homeverzeichnisse von Benutzern gelöscht werden.
Wenn dein Mailprogramm Mails in /var/spool ablegt gehe genauso vor. Bedenke das der Besitzer und die Gruppe richtig zu setzen ist.
Du kannst einen Benutzer auch mit chroot in sein Homeverzeichnis einsperren. Beachte aber das alle Programme die er verwenden soll in seinem Homeverzeichnis vorliegen müssen.
 
ich hab mir mal nen Nutzer namens "test" eingerichtet...

nun das so gemacht wie Du mir ja geschrieben hast.

Flags für den Ordner /home/test lauten:

drwx------ 2 test users 4096 2005-10-12 00:24 test

Ich habe den Ordner mit chmod 700 test/ versehen ...

trozdem kommt der "test" Nutzer ohne eine Fehlermeldung ins /root Verzeichnis und kann dort alles machen ...

fehlt da irgendwas auf dem System? Was diese Sicherheitsluecke hervorruft?
 
Klar kann der test in / rein. Was ich geschrieben habe ich ja auch das der test2 nicht beim test rein kann.
Das ist ja nur der erste Schritt.
 
@Tobster: Bitte erst genau Lesen!!!

trozdem kommt der "test" Nutzer ohne eine Fehlermeldung ins /root Verzeichnis und kann dort alles machen
Click to expand...

Ich will die Rechte des /root Verzeichnisses sehen... damit dies ich sehen kann brauche ich die Auflistung des Root Verzeichnisses /
 
Ja und was wiedersprich sich jetzt mit dem was ich geschrieben habe? Ich stehe gerade auf dem Schlauch.
Mir geht's doch im mom nur um das Homeverzeichnis. Und ich wollte sagen klar kommt er da noch rein da haben wir ja auch noch nix gemacht.
 
Ah jetzt ja - Es gibt halt Leute die Bottum up arbeiten und andere, so wie du, arbeiten nach dem Top Down Prinzip.
 
Guten Abend, hab es leider nicht vorher geschafft zu antworten. Folgende Rechte sind hier zu finden:

Code: 
ls -la /
insgesamt 112
drwxr-xr-x   21 root root   4096 2005-10-07 21:52 .
drwxr-xr-x   21 root root   4096 2005-10-07 21:52 ..
drwxr-xr-x    2 root root   4096 2005-10-10 00:13 bin
drwxr-xr-x    2 root root   4096 2005-10-07 19:12 boot
drwxr-xr-x   12 root root  24576 2005-10-07 21:54 dev
drwxr-xr-x   74 root root   4096 2005-10-12 00:46 etc
drwxrwsr-x    9 root staff  4096 2005-10-12 00:46 home
drwxr-xr-x    2 root root   4096 2005-08-15 17:51 initrd
drwxr-xr-x   11 root root   4096 2005-10-10 00:13 lib
drwxr-xr-x    2 root root  16384 2005-04-20 15:16 lost+found
drwxr-xr-x    3 root root   4096 2005-04-20 15:16 media
drwxr-xr-x    2 root root   4096 2004-07-26 20:27 mnt
drwxr-xr-x    2 root root   4096 2005-04-20 15:17 opt
dr-xr-xr-x  142 root root      0 2005-10-07 19:12 proc
drwxr-xr-x    7 root root   4096 2005-10-10 20:05 root
drwxr-xr-x    2 root root   4096 2005-10-10 00:13 sbin
drwxr-xr-x    2 root root   4096 2005-04-20 15:17 srv
drwxr-xr-x    2 root root   4096 2004-10-13 21:40 sys
drwxrwxrwt   12 root root   4096 2005-10-12 18:44 tmp
drwxr-xr-x   12 root root   4096 2005-10-07 21:52 usr
drwxr-xr-x   14 root root   4096 2005-04-20 13:58 var
lrwxrwxrwx    1 root root     13 2005-10-07 19:11 vmlinuz -> /boot/vmlinuz

Hoffe das war das was du sehen / wissen wolltest...
 
Bist du sicher das es gut ist auch die Gruppenrechte ganz wegzunehmen?
 
Ja!!! So gehört sich das auch für das /root Verzeichnis.
So ist es Standartmässig auch auf jeden System eingestellt wenn du es Installierst
 
Ok, das mit dem /root hat nun schon geklappt - danke schonmal fuer die bisherige hilfe.

Ist es mir nun moeglich, das ich nun den Usern die in /home/gruppe/kunde/ angelegt wurde, zu sagen, das dieser User nicht in /home/gruppe switschen darf, und dann sieht der User mit "ls" die ganzen weiteren User, die sich darin befinden und kann bisher reinswitschen.Somit hat der "eigeloggte" User das recht, fremde Dateien zu lesen / und oeffnen, was natuerlich nicht immer ganz ok ist - besonders wenn "vertrauliche" Daten drin stehen!
 
net-spacy said:
das alle User bis ins /root kommen.
Click to expand...
Meine Frage: Wie?
Per FTP, PHP, Perl, ssh oder wie genau kommt man als User in die anderen Verzeichnisse?

ich bekomme Quota nicht installiert - unter Debian ist dies ja dank dem "Kernel" laut aussagen verschiedener Personen nicht moeglich
Click to expand...
Diese Aussage war mir bisher unbekannt und kann von mir auch nicht bestätigt werden. Ich hab ein Sarge laufen und ohne Probleme quota installiert.

huschi.
 
Hi huschi zu deiner Frage:

Meine Frage: Wie?
Per FTP, PHP, Perl, ssh oder wie genau kommt man als User in die anderen Verzeichnisse?
Click to expand...

Wenn der User sich per ssh eingeloggt haben konnten die bis ins /root wechseln. Nun zum glueck nicht mehr, habe chmod -R 700 /root ausgefuehrt, somit bekommen die User: "kein zugriff" gemeldet.

Mein Problem ist jetzt immernoch: jeder User kann ins Verzeichnis anderer User wechseln und sieht somit auch seine Daten.

Zu dem Bereich Quota: Diese Option muss soweit ich weiss im Kernel waehrend der "erst Installation" ausgewaehlt sein. Was leider nicht geschah, und ich nur nen Image von meinen Anbieter nutze...
 
net-spacy said:
Wenn der User sich per ssh eingeloggt haben
Click to expand...
Nun dann kommte es lediglich auf die richtigen Gruppenrechte an.
Du hast wahrscheinlich alle User in der Gruppe 'users'. Heutzutage vergibt man pro User eine neue Gruppe, in die diese dann primär sind. Sekundär schmeißt man diese dann noch in die Gruppe des Apache, damit PHP Schreib- und Leserechte per Gruppenrechte erhält und nicht alles auf 777 stehen muß.
Ein 'll /home' könnte dann so aussehen:
Code: 
drwxr-x---   2 ftp    nogroup   4096 2004-06-25 01:00 ftp
drwxr-x---   7 huschi huschi    4096 2005-09-27 10:54 huschi
drwxr-x---   2 joerg  joerg     4096 2004-06-24 22:00 joerg


im Kernel waehrend der "erst Installation" ausgewaehlt sein.
Click to expand...
Es stimmt, daß der Kernel (genauergesagt, der FS-Treiber) ein Quota-Modul braucht. Das hat der std. Kernel allerdings drin.
Du solltest eigendlich mit 'apt-get install quota' alles ans laufen bekommen.

Ansonsten beschreib mal was Dich vermuten läßt, daß es nicht so ist.

huschi.
 
Also ich vergebe sowieso jeden User eine eigene Gruppe. Bei mir sieht der aufbau so aus:

/home/<Kategorie>/<Gruppe>/<User>/

<Kategorie> sind u.a. folgende Kategorien:

<Eggdrops>,<Shell>,<psyBNC>,<stream>,<steam/gameserver>...

Die Gruppe schliesst sich wie folgt zusammen:

1000, 1001, 1002 ... damit ich die User nicht nur local zuordnen kann sondern auch auf dem Server.

Code: 
in /home: ls -l
drwxr-sr-x  7 root   staff   4096 2005-10-07 21:27 Eigene
drwxr-xr-x  2 ftp    nogroup 4096 2005-06-23 12:29 ftp
drwxr-sr-x  5 root   staff   4096 2005-10-07 21:05 User
drwxr-sr-x  3 root   staff   4096 2005-10-07 17:56 Bekannte
drwxr-xr-x  4 psybnc users   4096 2005-10-09 14:25 psybnc
drwxr-xr-x  4 steam  users   4096 2005-10-13 02:51 steam
drwx------  2 test   users   4096 2005-10-12 00:24 test

Code: 
in /home/shells: ls -l
drwxr-sr-x  5 root      staff 4096 2005-10-08 20:20 eggdrops
drwxr-sr-x  6 root      staff 4096 2005-10-09 14:17 shells
drwxr-xr-x  4 teamspeak users 4096 2005-10-07 21:41 teamspeak

Code: 
in /home/shells/eggdrop: ls -l
drwxr-sr-x  4 root staff 4096 2005-10-08 20:24 1003
drwxr-sr-x  4 root staff 4096 2005-10-07 21:06 1008
drwxr-sr-x  4 root staff 4096 2005-10-07 21:21 1012

Code: 
in /home/shells/eggdrop/1003: ls -l
drwxr-xr-x  4 hexxanol 1003 4096 2005-10-11 18:53 hexxanol
drwxr-xr-x  4 inetnol  1003 4096 2005-10-11 19:09 inetnol

Code: 
in /home/shells/eggdrop/1003/hexxanol: ls -l
drwxr-xr-x  10 hexxanol 1003    4096 2005-10-14 00:00 eggdrop
drwxr-xr-x  10 hexxanol 1003    4096 2005-10-11 18:53 eggdrop1.6.17
-rw-r--r--   1 hexxanol 1003 1021902 2004-09-12 23:25 eggdrop1.6.17.tar.gz

Habe hier nun mal die Auflistung gemacht - wie der Aufbau bei mir aussieht.

Schoene Nacht erstmal...
 
Muß ich eigendlich noch antworten?
Hier sieht man doch recht deutlich, warum jeder überall hin darf.
Setze halt die Benutzerrechte entsprechend und Du kannst Glücklich werden.

huschi.
 
Wenn ich die Rechte dementsprechend entziehe, kommt bei dem jeweiligen User die meldung, das er keine Berechtigung auf .profile hat. Somit landet er auch direkt im ~ aber er kann wie gesagt nicht in seinem Verzeichnis sein... etc.

deswegen kam die o.g. Frage ob man da irgendwas bestimmtes beachten muss, denn mir war / ist klar das /home auch geschuetzt werden muesste allerdings kommen dann die Fehlermeldungen - egal ob in /home oder direkt im "Gruppen-Verzeichnis" geaendert wurde.

Trozdem schoenen Abend noch,

und vielen Dank.
 
You must log in or register to reply here.
Back
Top