staging.inyokaproject.org

Chrissss hat geschrieben:

Ein einfaches

# chmod 700 $HOME

finde ich persönlich noch nicht ideal. Kennt jemand den Dateinamen und den Pfad, so kann man trotzdem Daten aus anderen Homeverzeichnissen auslesen.

Das stimmt so nicht. DrScott hat Recht. Um auf eine Datei zugreifen zu können, muss man in allen übergeordneten Verzeichnisse x-Rechte haben. (Nicht aber Leserechte.)

Genau das ist eben das Problem bei 700 für's Homeverzeichnis. Benutzer erstellen z.B. ein public_html-Verzeichnis, vergeben World-rx-Rechte und wundern sich, warum trotzdem niemand drauf zugreifen kann.
Chrissss hat geschrieben:

Und legt man Dateien über Anwendungsprogramme an, so liegt es an diesen wie die Rechte gesetzt werden. Hier legt Nautilus Dateien mit 600 an, OOo mit 644 etc...

Die Umask spielt da aber auch mit rein. Ich hab mal einen kurzen Blick auf die versteckten Verzeichnisse geworfen, und die meisten schützen sensible Daten tatsächlich mit 700. Wine aber z.B. nicht.

Ich plädiere deswegen weiterhin für eine Umask 027.

Da es gerade in einem anderen Beitrag darum ging: Rechte für .dmrc: 644 oder 600. Bei mir (Feisty-Testsystem) hat die Datei 0600, und ich wüßte nicht, dass ich da mal was verändert hätte. Wie sieht's bei Euch aus?

Ebenso.

Gruß, Dee

Hallo, kurz ein paar Kommentare. Anglizismen vermeiden finde ich prinzipiell auch gut, aber Heimatverzeichnis ist keine gute Wahl. Viele politisch rechte Seiten übersetzen "Homepage" mit "Heimatseite". Das hat also einen merkwürdigen Beigeschmack, daher würde ich bei "Home" bleiben (was ja anscheinend auch erstmal der Fall ist).

Dann würde ich vielleicht noch einige Fragen klären bzw. darin verlinkt haben, sofern sie bereits existieren:

1.) Wenn ich partitioniere, wie groß soll/muss welche Partition werden?
2.) Wie ändere ich das Home-Verzeichnis auf die eigene Partition?

und etwas ot, 3.) Wie groß sollte idealerweise die Swap-Partition sein?

Das sind so fragen, die ich mir als Linux-Neuling stelle und durch den Artikel noch gerne beantwortet hätte. ☺

1.) Wenn ich partitioniere, wie groß soll/muss welche Partition werden?

Partitionierung

2.) Wie ändere ich das Home-Verzeichnis auf die eigene Partition?

Home_umziehen

und etwas ot, 3.) Wie groß sollte idealerweise die Swap-Partition sein?

Siehe oben

Das sind so fragen, die ich mir als Linux-Neuling stelle und durch den Artikel noch gerne beantwortet hätte. ☺

Die sind schon beantwortet 😉

Tschuess
Christoph

Vielen Dank! Aber geht dann folgendes:

Dann würde ich vielleicht noch einige Fragen ... darin verlinkt haben, sofern sie bereits existieren:

?

Dann würde ich vielleicht noch einige Fragen ... darin verlinkt haben, sofern sie bereits existieren:

Schon geschehen 😉

Ich hab' mal noch 'ne kurze Begründung ergänzt, warum /root nicht in /home liegt.

Hallo,Ihr Lieben,
DrScott gab mir einen Hinweis auf diesen thread, deshalb kopiere ich mal hier einen Ausschnitt aus http://forum.ubuntuusers.de/viewtopic.php?p=764394#764394
hinein

Mein Geschockt bezog sich darauf,dass ich mich nicht erinnern kann, an den Rechten in meinem home grundsätzlich (z.B. mit chmod 0600 dateienxyz*) etwas geändert zu haben und trotzdem stelle ich fest: ein Teil meiner ~/.* haben oktal 755 bzw. 644 und ein Teil 700 bzw 600. Als gemeinsamer Nenner ist bei mir erkennbar, das die Dateien/Verzeichnisse
für "normale" Anwendungen 755/644 haben (z.B. Gimp),
hingegen für Windowmanager/Desktop/Mail/Internet 700/600 haben, so dass da schon Sicherheitsaspekte für mich erkennbar sind und sich mir die Frage stellt, ob die find-Befehle kommentarlos in Baustelle/Homeverzeichnis empfehlenswert sind.Da sollte, glaube ich, für sicherheitsbewußte Zeitgenossen schon eine Warnung stehen, die entsprechenden ~/.* händisch wieder auf 700/600 zu setzen.

Was meint Ihr dazu?
Viele Grüße!Uwe Pr.

Wie handeln wir denn die Sache jetzt? Was ist das ideale Vorgehen für

Baustelle/Homeverzeichnis#head-0ae2e925b6f402291afd17849354a69450f6a407

Tschuess
Christoph

Bei "Homeverzeichnis nur für den eigenen Benutzer lesbar" sollte aber dringend ne Warnung rein. Danach ist nämlich kein programm mehr ausführbar dort. Wer z.B. wie ich da einige Skripte liegen hat, wundert sich dann vll. daß keines mehr geht.

Gruß, Dee

Rechte korrigieren: Da das Korrigieren alles andere als trivial ist, artet eigentlich jeder Versuch, die Rechte "genauer/feiner" zu korrigieren, immer aus. Am Ende hat man dann trotzdem eine Situation, in der die Rechte nicht dem Urzustand entsprechen. Daher denke ich, daß ein größerer Aufwand kaum gerechtfertigt ist. Der einfache Anwender kann das dann auch gar nicht mehr schaffen. Daher halte ich die Befehle in diesem Unterabschnitt für "ideal"
Es sollte aber erwähnt werden, dass durch diese Aktion nicht der Urzustand erreicht wird, wobon man bei "Korrektur" ja ausgehen könnte.

Hab aus Rechte einen eigenen Abschnitt gebaut und weitere Erläuterungen gesetzt

Baustelle/Homeverzeichnis#head-4de2bb8e9e4aecc3e9252c1044a26b0ade4e90b8

So lassen?

Daniel_L hat geschrieben:

Hallo, kurz ein paar Kommentare. Anglizismen vermeiden finde ich prinzipiell auch gut, aber Heimatverzeichnis ist keine gute Wahl. Viele politisch rechte Seiten übersetzen "Homepage" mit "Heimatseite". Das hat also einen merkwürdigen Beigeschmack, daher würde ich bei "Home" bleiben (was ja anscheinend auch erstmal der Fall ist).

Kurz meine Meinung dazu: Ich würde es allgemein mit Benutzerverzeichnis übersetzen. Das finde ich immer noch am besten.
Grüße
Schneew.

Chrissss, ich will Dich mit meinen erneuten Einwänden nicht nerven, aber ich habe hier mit Otzenpunk viel über diese Themen diskutiert. Wie stehst Du zu seinem Vorschlag (den du nur einmal "eleganter" genannt hast)?
Auch wurde dein Einwand gegen "nur 700 auf $HOME" "widerlegt", bist dann aber nicht weiter darauf eingegangen, so daß ich nun gar nicht abschätzen kann, wie du zu diesem Vorschlag stehst.

Ich will nochmal kurz (aus meiner Sicht) zusammenfassen:

Homeverzeichnis nur für den eigenen Benutzer lesbar hat geschrieben:

die Rechte zuverlässig setzen

Zuverlässig ja, aber irgendwie übertrieben:

Durch den Befehl wird auch $HOME selbst mit 700 versehen. Allein dadurch ist bereits das gesamte $HOME (inkl. jetziger und künftiger Dateien) _zuverlässig_ geschützt. Schau dir die Diskussion nochmal an....
Daher ist mir nicht ganz klar, weshalb die darunerliegenden Verzeichniss-/Dateirechte auch noch geändert werden? Doppelt hält besser? Neue Dateien/Verzeichnisse werden indes "nur" von 700 auf $HOME geschützt.
Andererseits verhindert das Ändern der darunterliegenden Rechte, dass der originale Urzustand wiederhergestellt werden kann.
Ich bin eben nicht glücklich darüber, dass man sich erst Gedanken macht, wie man einem Anwender helfen kann, seine Rechte wieder einigermaßen in Ordnung zu bringen, und im nächsten Schritt erhält er eine Anleitung, wie er Unordnung stiftet... 😉

Der eigentliche Vorschlag, der hauptsächlich aus Otzenpunks Beiträgen gewachsen ist, war aber ausgefeilter, aber ich sehe auch, daß die Notwendigkeit einer Änderung der umask an geeigneter Stelle den Normalanwender vielleicht überfordert. Daher halte ich "700 (750) für $HOME, sonst nichts" für eine optimale Alternative. Auch wenn Otzenpunk jetzt wieder bei "public_html" Magendrücken bekommt. Allerdings bekommt er das bei der jetzigen Lösung auch schon. 😉

Voreinstellung ändern hat geschrieben:

so dass die Dateien künftig neu angelegter Benutzer nicht von Anderen lesbar sind

Hier wird meiner Meinung ein falscher Eindruck geweckt: Der User geht davon aus, dass seine Dateien nicht gelesen werden können. Das stimmt aber nicht. Es wird nur verhindert, dass die unmittelbar in $HOME liegenden Namen gelistet werden können. Kenne ich aber diese Namen, so kann ich lesen. In Unterverzeichnissen darf ich sogar wieder Namen listen. Das ist etwas anderes als "Dateien sind für andere nicht lesbar".

Ich würde "Voreinstellung ändern" komplett streichen. "Homeverzeichnis nur für den eigenen Benutzer lesbar" kann bei wenigen Anwendern durchaus öfters ausgeführt werden. Bei vielen Anwendern gibt es eh einen Administrator.
Ansonsten sollte man vielleicht erläutern, was diese Option wirklich bewirkt.

EDIT: Quote-Tag korrigiert...