Skocz do zawartości

Uprawnienia Shadow/Gshadow


Fedoras

Rekomendowane odpowiedzi

Czy ktoś może mi wytłumaczyć o co chodzi z uprawnieniami czy raczej z całkowitym brakiem uprawnień linuxowych dla plików shadow/gshadow?

 

# ls -lrZ /etc/gsh*

----------. root root system_u:object_r:shadow_t:s0 /etc/gshadow-

----------. root root system_u:object_r:shadow_t:s0 /etc/gshadow

# ls -lrZ /etc/sha*

----------. root root system_u:object_r:shadow_t:s0 /etc/shadow-

----------. root root system_u:object_r:shadow_t:s0 /etc/shadow

 

Sprawdziłem, że pliki shadow/gshadow należą do pakietu "setup"

rpm -qf /etc/gshadow

setup-2.8.48-1.fc17.noarch

]# rpm -qf /etc/shadow

setup-2.8.48-1.fc17.noarch

 

W pakiecie "setup" także brak uprawnień dla obu plików.

Odnośnik do komentarza
Udostępnij na innych stronach

Domyslam sie, ze jest to jedna z nowosci w F17.

W F16 bylo:

-r-------- 1 root root /etc/gshadow

-r-------- 1 root root /etc/shadow

 

W innych dystrybucjach jest najczesciej:

-r-------- 1 root root /etc/gshadow

-rw------- 1 root root /etc/shadow

lub:

-rw------- 1 root root /etc/gshadow

-rw------- 1 root root /etc/shadow

 

Czy ta nowosc jest gdzies opisana, w jakiejs dokumentacji? Od kiedy jadro decyduje o dostepie do plików i zajmuje sie sprawdzaniem usera?

Odnośnik do komentarza
Udostępnij na innych stronach

Od kiedy jadro decyduje o dostepie do plików i zajmuje sie sprawdzaniem usera?
Wg mnie od zawsze. Przynajmniej jesli chodzi o sprawdzanie GID=0, co do innych nie jestem pewien, ale logicznie rzecz biorac powinno byc tak samo.

 

Co do uprawnien w F16 to u mnie /etc/gshadow i /etc/shadow równiez maja uprawnienia 000.

Odnośnik do komentarza
Udostępnij na innych stronach

Mój blad. Zapomnialem, ze od 2008 roku robilem aktualizacje przez yum i dopiero uniemozliwienie w F17 uzywania osobnej partycji /usr zmusilo mnie do przebudowy dysku i czystej instalacji. Czyli zostalo to wprowadzone wczesniej niz w F16, a moje pliki posiadaly wczesniejsze uprawnienia.

 

W ramach testu prosze sprawdzic co sie stanie gdy w /etc/selinux/config wylaczy sie calkowicie opcje selinux: "#SELINUX=" U mnie, po restarcie wlaczyl sie w trybie permissive.

 

Jak inne programy reaguja na plik nie posiadajacy zadnych uprawnien? Czy traktuja go jako niedostepny czy wrecz przeciwnie, jako plik bledny i dostepny dla wszystkich?

 

Podtrzymuje pytanie o jakas dokumentacje do tego rozwiazania.

Odnośnik do komentarza
Udostępnij na innych stronach

Tak oczywiscie. Troche skrócilem wypowiedz. Chodzilo mi o to, ze wstawilem ten hasz zeby z configa nie bylo zadnych parametrów. I selinux domyslnie uruchomil sie w trybie permissive.

 

Tak z ciekawosci sprawdzilem:

 

# find / -type f -perm 000 -ls

 

0 ---------- 1 root root 0 cze 6 8:48 /run/cron.reboot

oraz

/run/user/jakis_uzytkownik/gvfs : Brak dostepu

 

i okazalo sie, ze te dwa pliki tez nie maja zadnych uprawnien. Ale ja mam dosc chudy system. Sam system + Gnome

 

 

EDIT

Troche szukalem i niewiele znalazlem.

https://docs.redhat....n_Security.html

Powyzszy link odsyla do Guide to the Secure Configuration of Red Hat Enterprise Linux 5, a tam rozdzial 2.2.3.1 nie pozostawia zludzen, jakie powinny byc uprawnienia shadow i gshadow (# chmod 400 shadow gshadow).

 

Co prawda RHEL 5 ma juz pare lat i w zabezpieczeniach wiele moglo sie zmienic. Stad moja ponowna prosba do @Artur_S o podeslanie jakiegos linka z szerszym opisem takiego rozwiazania "bezuprawnieniowego". Ciekawi mnie tez jakie jeszcze pliki korzystaja z tego rozwiazania. Ze stopki wynika, ze mozesz miec wiedze i lepszy dostep do zasobów informacyjnych RH niz ja czy inni uzytkownicy forum.

 

Jako ciekawostka - jeszcze jeden link:

https://www.redhat.c...rd-HOWTO-7.html

Tu, dla odmiany plik gshadow powinien miec uprawnienia 700 (rozdz. 7.4). I rzeczywiscie pamietam, ze kiedys gshadow byl wykonywalny. Tez mnie to dziwilo.

 

EDIT 2

Wyglada na to, ze problem jest szerszy:

# find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

...

---x--s--x 1 root ssh_keys 248420 kwi 6 21:26 /usr/libexec/openssh/ssh-keysign

---x--s--x 1 root nobody 120228 kwi 6 21:26 /usr/bin/ssh-agent

...

---s--x--x 2 root root 77372 maj 17 14:00 /usr/bin/sudoedit

---s--x--x 2 root root 77372 maj 17 14:00 /usr/bin/sudo

...

 

Tym bardziej warto cos poczytac na ten temat.

Edytowane przez Fedoras
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...