Jump to content

Uprawnienia Shadow/Gshadow


Fedoras
 Share

Recommended Posts

Czy ktoś może mi wytłumaczyć o co chodzi z uprawnieniami czy raczej z całkowitym brakiem uprawnień linuxowych dla plików shadow/gshadow?

 

# ls -lrZ /etc/gsh*

----------. root root system_u:object_r:shadow_t:s0 /etc/gshadow-

----------. root root system_u:object_r:shadow_t:s0 /etc/gshadow

# ls -lrZ /etc/sha*

----------. root root system_u:object_r:shadow_t:s0 /etc/shadow-

----------. root root system_u:object_r:shadow_t:s0 /etc/shadow

 

Sprawdziłem, że pliki shadow/gshadow należą do pakietu "setup"

rpm -qf /etc/gshadow

setup-2.8.48-1.fc17.noarch

]# rpm -qf /etc/shadow

setup-2.8.48-1.fc17.noarch

 

W pakiecie "setup" także brak uprawnień dla obu plików.

Link to comment
Share on other sites

Nikt nie musi ich czytac i zmieniac za wyjatkiem roota, a jezeli user ma uid==0 (root) to uprawnienia DAC nie sa sprawdzane przez kernel, dlatego wszystko jest ok :)

Link to comment
Share on other sites

Domyslam sie, ze jest to jedna z nowosci w F17.

W F16 bylo:

-r-------- 1 root root /etc/gshadow

-r-------- 1 root root /etc/shadow

 

W innych dystrybucjach jest najczesciej:

-r-------- 1 root root /etc/gshadow

-rw------- 1 root root /etc/shadow

lub:

-rw------- 1 root root /etc/gshadow

-rw------- 1 root root /etc/shadow

 

Czy ta nowosc jest gdzies opisana, w jakiejs dokumentacji? Od kiedy jadro decyduje o dostepie do plików i zajmuje sie sprawdzaniem usera?

Link to comment
Share on other sites

Od kiedy jadro decyduje o dostepie do plików i zajmuje sie sprawdzaniem usera?
Wg mnie od zawsze. Przynajmniej jesli chodzi o sprawdzanie GID=0, co do innych nie jestem pewien, ale logicznie rzecz biorac powinno byc tak samo.

 

Co do uprawnien w F16 to u mnie /etc/gshadow i /etc/shadow równiez maja uprawnienia 000.

Link to comment
Share on other sites

Mój blad. Zapomnialem, ze od 2008 roku robilem aktualizacje przez yum i dopiero uniemozliwienie w F17 uzywania osobnej partycji /usr zmusilo mnie do przebudowy dysku i czystej instalacji. Czyli zostalo to wprowadzone wczesniej niz w F16, a moje pliki posiadaly wczesniejsze uprawnienia.

 

W ramach testu prosze sprawdzic co sie stanie gdy w /etc/selinux/config wylaczy sie calkowicie opcje selinux: "#SELINUX=" U mnie, po restarcie wlaczyl sie w trybie permissive.

 

Jak inne programy reaguja na plik nie posiadajacy zadnych uprawnien? Czy traktuja go jako niedostepny czy wrecz przeciwnie, jako plik bledny i dostepny dla wszystkich?

 

Podtrzymuje pytanie o jakas dokumentacje do tego rozwiazania.

Link to comment
Share on other sites

Tak oczywiscie. Troche skrócilem wypowiedz. Chodzilo mi o to, ze wstawilem ten hasz zeby z configa nie bylo zadnych parametrów. I selinux domyslnie uruchomil sie w trybie permissive.

 

Tak z ciekawosci sprawdzilem:

 

# find / -type f -perm 000 -ls

 

0 ---------- 1 root root 0 cze 6 8:48 /run/cron.reboot

oraz

/run/user/jakis_uzytkownik/gvfs : Brak dostepu

 

i okazalo sie, ze te dwa pliki tez nie maja zadnych uprawnien. Ale ja mam dosc chudy system. Sam system + Gnome

 

 

EDIT

Troche szukalem i niewiele znalazlem.

https://docs.redhat....n_Security.html

Powyzszy link odsyla do Guide to the Secure Configuration of Red Hat Enterprise Linux 5, a tam rozdzial 2.2.3.1 nie pozostawia zludzen, jakie powinny byc uprawnienia shadow i gshadow (# chmod 400 shadow gshadow).

 

Co prawda RHEL 5 ma juz pare lat i w zabezpieczeniach wiele moglo sie zmienic. Stad moja ponowna prosba do @Artur_S o podeslanie jakiegos linka z szerszym opisem takiego rozwiazania "bezuprawnieniowego". Ciekawi mnie tez jakie jeszcze pliki korzystaja z tego rozwiazania. Ze stopki wynika, ze mozesz miec wiedze i lepszy dostep do zasobów informacyjnych RH niz ja czy inni uzytkownicy forum.

 

Jako ciekawostka - jeszcze jeden link:

https://www.redhat.c...rd-HOWTO-7.html

Tu, dla odmiany plik gshadow powinien miec uprawnienia 700 (rozdz. 7.4). I rzeczywiscie pamietam, ze kiedys gshadow byl wykonywalny. Tez mnie to dziwilo.

 

EDIT 2

Wyglada na to, ze problem jest szerszy:

# find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

...

---x--s--x 1 root ssh_keys 248420 kwi 6 21:26 /usr/libexec/openssh/ssh-keysign

---x--s--x 1 root nobody 120228 kwi 6 21:26 /usr/bin/ssh-agent

...

---s--x--x 2 root root 77372 maj 17 14:00 /usr/bin/sudoedit

---s--x--x 2 root root 77372 maj 17 14:00 /usr/bin/sudo

...

 

Tym bardziej warto cos poczytac na ten temat.

Edited by Fedoras
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...