|
Ehemaliger
(Themenstarter)
Anmeldungsdatum: Beiträge: 28316 |
Hallo, hab's nochmal mit einer richtigen Kubuntu Installation probiert: Gruß, noisefloor |
|
Anmeldungsdatum: Beiträge: 2726 |
Sehr cool. Und wenn man mehrmals hintereinander speichert, merkt er sich dann vielleicht sogar das Passwort? |
|
Anmeldungsdatum: Beiträge: 4768 |
Genau das meinte ich weiter oben mit sicherem Systemdesign. Bei dieser Gestaltung wird der Endanwender erst gar nicht in die Verlegenheit gebracht, selber entscheiden zu müssen, wie er möglichst sicher seine Aufgaben erledigt. Das System sorgt einfach für bestmögliche Sicherheit. LG, Newubunti |
|
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 7816 |
Danke für diesen Test. Das hilft mir sehr bei der Überarbeitung, weil ich mich selber mit Kubuntu nicht befassen möchte. Kannst Du bitte auch einmal das Verhalten unter Kubuntu bzw. Kate bei einer Systemdatei erkunden, auf welche der normale Benutzer keinen Zugriff hat, weil er bereits das Verzeichnis nicht betreten darf (kein Recht rx) oder die Datei selbst nicht lesen darf (kein Recht r)?
Manchmal muss halt auch KDE gewinnen, aber vielleicht finde ich ja für die GTK-Fans noch etwas ähnlich komfortables. |
|
Ehemaliger
(Themenstarter)
Anmeldungsdatum: Beiträge: 28316 |
Hallo,
Klar. Sag' mir bitte, mit welcher Datei ich das testen kann / soll. Gruß, noisefloor |
|
Supporter
Anmeldungsdatum: Beiträge: 12070 |
Das wirft in „Standard“-Plasma eine Fehlermeldung und lässt sich nicht bearbeiten. Getestet mit /etc/shadow. Wie das unter Kubuntu läuft, kann ich da nicht abschätzen, da sich die Regeln sicherlich unterscheiden, allein durch die Verwendung von AppArmor und da ich ein Plasma aus der Hand von kdesrc verwende, welches mit von der KDE-Community festgelegten Standards kompiliert wird, die ich aus Bequemlichkeit nie angefasst habe.
Ansichtssache. Ich finde das bewusste Eingeben von 'admin://' beim Arbeiten mit Rootrechten besser, da dem Anwender noch mal vor Augen geführt wird, das er da gerade den Ast absägt, auf dem er sitzt. Für mehrere Benutzer finde ich den Plasma-Ansatz besser, da ich so auch in gemeinsam lesbaren Verzeichnissen mal eben was als „anderer Nutzer“ ändern kann. Das muss nicht Root sein und hilft wenn die Gruppenrechte falsch gesetzt sind oder bei Dateien die keine Rechte für die Gruppe erlauben. (ACL funktionieren auch nicht immer tadellos).
Ist kein Wettstreit 😉 Es sind nur andere Ansätze und Beschränkungen. Ich mag beide Welten, auch wenn ich explizit GNOME3 nicht mag. |
|
Ehemaliger
(Themenstarter)
Anmeldungsdatum: Beiträge: 28316 |
Hallo,
Macht Kubuntu auch. Was passiert bei dir, wenn du eine Datei öffnen willst, wo du mit normalen Rechten nicht ins Verzeichnis kommst, aber die Datei schon lesen kannst? Z.B. Unter Kubuntu öffnet sich dann eine leere Datei. Wenn ich da was reintippe und speichere fragt Kubuntu nach dem Passwort (was ja richtig ist) - und überschreibt dann ungefragt die Originaldatei. Was... ziemlich schlecht ist. Gruß, noisefloor |
|
Supporter
Anmeldungsdatum: Beiträge: 12070 |
Das nenn ich mal nen Bug! Bei mir verhält sich das etwas anders (inotify wirft nen Error, das Terminal (F4) wirft „Permission Denied“), aber überschreiben kann ich die Datei auch frei heraus. Ich geh mal auf Bugsuche oder eröffne einen. Muss nur ein allgemein gültiges Verzeichnis finden, da ich deins nicht habe und bei mir die Docker-Struktur missbraucht habe 😉 |
|
Supporter
Anmeldungsdatum: Beiträge: 12070 |
Ich versuche das gerade nachzustellen. root@desktop[~]› mkdir -m 700 /example root@desktop[~]› mkdir -m 755 /example/subdir/ root@desktop[~]› echo "TESTCONTENT" > /example/subdir/file root@desktop[~]› chmod 664 /example/subdir/file Wenn ich dann versuche mit ls -ld /var{,/lib{,/polkit-1{,/localauthority{,/10-vendor.d/}}}}In 700 komm ich gar nicht erst rein. //Nachtrag: root@desktop[~]› tree -p /example/
[drwxr-xr-x] /example/
└── [drwx------] sub
└── [drwxr-xr-x] sub
3 directories, 0 files
root@desktop[~]› echo "TESTCONTENT" > /example/sub/sub/file
root@desktop[~]› chmod 664 /example/sub/sub/fileAuch wenn nur der mittlere Ordner 700 hat, bricht Kate mit Fehlermeldung ab. |
|
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 7816 |
So soll es ja auch sein. Um das zu überwinden, müsste der Dateimanager schon als |
|
Ehemaliger
(Themenstarter)
Anmeldungsdatum: Beiträge: 28316 |
Hallo, bitte schön: ls -ld /var{,/lib{,/polkit-1{,/localauthority{,/10-vendor.d/}}}} ls: cannot access '/var/lib/polkit-1/localauthority': Permission denied ls: cannot access '/var/lib/polkit-1/localauthority/10-vendor.d/': Permission denied drwxr-xr-x 14 root root 4096 Feb 23 05:32 /var drwxr-xr-x 72 root root 4096 Apr 12 13:32 /var/lib drwx------ 3 root root 4096 Feb 23 05:27 /var/lib/polkit-1 Wenn ich versuche, die Datei mit Ich kann so auch neue Dateien in dem Verzeichnis anlegen. Es funktioniert z.B. Gruß, noisefloor |
|
Supporter
Anmeldungsdatum: Beiträge: 12070 |
Das ist ja auch völlig richtig so. Du gibst ja dein root-PW ein, um die entsprechenden Rechte zu bekommen. Was mir in deiner Darstellung fehlt ist der Hinweis, das die bestehende Datei blind überschrieben wird. Von den Rechten her ist das absolut richtig, ich finde es nur kritisch, das kein Hinweis kommt, das der Dateiinhalt nicht angezeigt werden kann, bzw. die Prüfung fehlt ob die Datei existiert. Da gehört eine Warnung hin. Ich kanns trotzdem nicht nachstellen. Ich installiere mir gerade ne Kubuntu-VM, wollte ich ja schon ewig wieder machen. Dann kann ich mit deinem Pfad arbeiten und mir das angucken. Wenn auch nur einer der Ordner nur 700 oder 750 hat weigert sich kate bei mir. Daher gucke ich jetzt mal unter Kubuntu. Meine Plasma-Installation ist ja auch nicht stellvertretend und da fehlt sicher einiges, was fertige Distributionen mitbringen. |
|
Supporter
Anmeldungsdatum: Beiträge: 12070 |
Jaein. Das gibt es, aber offenbar nicht in Kubuntu → https://invent.kde.org/system/kio-admin. Das ist das kio-Äquivalent zum GTK-admin:/// und funktioniert oberflächlich betrachtet gleich. |
|
Anmeldungsdatum: Beiträge: 2726 |
Nemo kann das. Hab' aber gerade mal in die Systemüberwachung geguckt. Da läuft dann tatsächlich eine Nemo-Instanz unter Bei GParted laufen dann 2 GUIs, eine davon unter |
|
Supporter
Anmeldungsdatum: Beiträge: 12070 |
Nee. Unter Plasma nicht, weil es kein kio spricht. Also Dolphin mit admin:/// oder Krusader mit dessen eigener PolicyKit-Implementierung. Es war explizit nach „KDE“ gefragt. Lass doch dein nerviges Gespamme mit Nemo. nemo ist der Hauptbenutzer in Sailfish OS → kannst dir ja zulegen^^ Zu Kubuntu root@kubuntu:~# ll -d /var/{,lib/{,polkit-1/{,localauthority/{,10-vendor.d/}}}}
drwxr-xr-x 14 root root 4096 Feb 23 05:32 /var//
drwxr-xr-x 72 root root 4096 Apr 12 15:13 /var/lib//
drwx------ 3 root root 4096 Feb 23 05:27 /var/lib/polkit-1//
drwxr-xr-x 7 root root 4096 Feb 23 05:28 /var/lib/polkit-1/localauthority//
drwxr-xr-x 2 root root 4096 Apr 12 14:59 /var/lib/polkit-1/localauthority/10-vendor.d//
root@kubuntu:~# getfacl /var/{,lib/{,polkit-1/{,localauthority/{,10-vendor.d/}}}
# ergibt keine ACL, lsattr auch keine AuffälligkeitenDas Öffnen von root@kubuntu:~# mkdir -p -m 755 /example/sub/sub root@kubuntu:~# chmod 700 /example/sub root@kubuntu:~# echo asdf > /example/sub/sub/file root@kubuntu:~# chmod 644 /example/sub/sub/file # und me@kubuntu:~$ kate /example/sub/sub/file Zeigt eine „neue, leere Datei“, welche sich wiederum wie von noisefloor angegeben überschreiben lässt, ohne den Inhalt anzuzeigen. Wer hat nun eine Idee, wieso die Rechte unter Kubuntu missachtet werden, die eigentlich dafür sorgen sollten, das Kate beim Öffnen in einem Unterverzeichnis von root/700 einen Fehler werfen sollte? |
