Fedoras Napisano Czerwiec 5, 2012 Zgłoszenie Share Napisano Czerwiec 5, 2012 Czy ktoś może mi wytłumaczyć o co chodzi z uprawnieniami czy raczej z całkowitym brakiem uprawnień linuxowych dla plików shadow/gshadow? # ls -lrZ /etc/gsh* ----------. root root system_u:object_r:shadow_t:s0 /etc/gshadow- ----------. root root system_u:object_r:shadow_t:s0 /etc/gshadow # ls -lrZ /etc/sha* ----------. root root system_u:object_r:shadow_t:s0 /etc/shadow- ----------. root root system_u:object_r:shadow_t:s0 /etc/shadow Sprawdziłem, że pliki shadow/gshadow należą do pakietu "setup" rpm -qf /etc/gshadow setup-2.8.48-1.fc17.noarch ]# rpm -qf /etc/shadow setup-2.8.48-1.fc17.noarch W pakiecie "setup" także brak uprawnień dla obu plików. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość Napisano Czerwiec 5, 2012 Zgłoszenie Share Napisano Czerwiec 5, 2012 Nikt nie musi ich czytac i zmieniac za wyjatkiem roota, a jezeli user ma uid==0 (root) to uprawnienia DAC nie sa sprawdzane przez kernel, dlatego wszystko jest ok Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Fedoras Napisano Czerwiec 6, 2012 Autor Zgłoszenie Share Napisano Czerwiec 6, 2012 Domyslam sie, ze jest to jedna z nowosci w F17. W F16 bylo: -r-------- 1 root root /etc/gshadow -r-------- 1 root root /etc/shadow W innych dystrybucjach jest najczesciej: -r-------- 1 root root /etc/gshadow -rw------- 1 root root /etc/shadow lub: -rw------- 1 root root /etc/gshadow -rw------- 1 root root /etc/shadow Czy ta nowosc jest gdzies opisana, w jakiejs dokumentacji? Od kiedy jadro decyduje o dostepie do plików i zajmuje sie sprawdzaniem usera? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Czerwiec 6, 2012 Zgłoszenie Share Napisano Czerwiec 6, 2012 Od kiedy jadro decyduje o dostepie do plików i zajmuje sie sprawdzaniem usera?Wg mnie od zawsze. Przynajmniej jesli chodzi o sprawdzanie GID=0, co do innych nie jestem pewien, ale logicznie rzecz biorac powinno byc tak samo. Co do uprawnien w F16 to u mnie /etc/gshadow i /etc/shadow równiez maja uprawnienia 000. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Fedoras Napisano Czerwiec 6, 2012 Autor Zgłoszenie Share Napisano Czerwiec 6, 2012 Mój blad. Zapomnialem, ze od 2008 roku robilem aktualizacje przez yum i dopiero uniemozliwienie w F17 uzywania osobnej partycji /usr zmusilo mnie do przebudowy dysku i czystej instalacji. Czyli zostalo to wprowadzone wczesniej niz w F16, a moje pliki posiadaly wczesniejsze uprawnienia. W ramach testu prosze sprawdzic co sie stanie gdy w /etc/selinux/config wylaczy sie calkowicie opcje selinux: "#SELINUX=" U mnie, po restarcie wlaczyl sie w trybie permissive. Jak inne programy reaguja na plik nie posiadajacy zadnych uprawnien? Czy traktuja go jako niedostepny czy wrecz przeciwnie, jako plik bledny i dostepny dla wszystkich? Podtrzymuje pytanie o jakas dokumentacje do tego rozwiazania. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
morsik Napisano Czerwiec 6, 2012 Zgłoszenie Share Napisano Czerwiec 6, 2012 @Fedoras: tylko, ze # to znak komentarza, wiec jesli w pliku masz wpisane "#SELINUX=" to to nie jest ustawione dalej, bo to tak jakby tej linijki nawet tam nie bylo Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Fedoras Napisano Czerwiec 6, 2012 Autor Zgłoszenie Share Napisano Czerwiec 6, 2012 (edytowane) Tak oczywiscie. Troche skrócilem wypowiedz. Chodzilo mi o to, ze wstawilem ten hasz zeby z configa nie bylo zadnych parametrów. I selinux domyslnie uruchomil sie w trybie permissive. Tak z ciekawosci sprawdzilem: # find / -type f -perm 000 -ls 0 ---------- 1 root root 0 cze 6 8:48 /run/cron.reboot oraz /run/user/jakis_uzytkownik/gvfs : Brak dostepu i okazalo sie, ze te dwa pliki tez nie maja zadnych uprawnien. Ale ja mam dosc chudy system. Sam system + Gnome EDIT Troche szukalem i niewiele znalazlem. https://docs.redhat....n_Security.html Powyzszy link odsyla do Guide to the Secure Configuration of Red Hat Enterprise Linux 5, a tam rozdzial 2.2.3.1 nie pozostawia zludzen, jakie powinny byc uprawnienia shadow i gshadow (# chmod 400 shadow gshadow). Co prawda RHEL 5 ma juz pare lat i w zabezpieczeniach wiele moglo sie zmienic. Stad moja ponowna prosba do @Artur_S o podeslanie jakiegos linka z szerszym opisem takiego rozwiazania "bezuprawnieniowego". Ciekawi mnie tez jakie jeszcze pliki korzystaja z tego rozwiazania. Ze stopki wynika, ze mozesz miec wiedze i lepszy dostep do zasobów informacyjnych RH niz ja czy inni uzytkownicy forum. Jako ciekawostka - jeszcze jeden link: https://www.redhat.c...rd-HOWTO-7.html Tu, dla odmiany plik gshadow powinien miec uprawnienia 700 (rozdz. 7.4). I rzeczywiscie pamietam, ze kiedys gshadow byl wykonywalny. Tez mnie to dziwilo. EDIT 2 Wyglada na to, ze problem jest szerszy: # find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls ... ---x--s--x 1 root ssh_keys 248420 kwi 6 21:26 /usr/libexec/openssh/ssh-keysign ---x--s--x 1 root nobody 120228 kwi 6 21:26 /usr/bin/ssh-agent ... ---s--x--x 2 root root 77372 maj 17 14:00 /usr/bin/sudoedit ---s--x--x 2 root root 77372 maj 17 14:00 /usr/bin/sudo ... Tym bardziej warto cos poczytac na ten temat. Edytowane Czerwiec 8, 2012 przez Fedoras Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się