Fedoras Posted June 5, 2012 Report Share Posted June 5, 2012 Czy ktoś może mi wytłumaczyć o co chodzi z uprawnieniami czy raczej z całkowitym brakiem uprawnień linuxowych dla plików shadow/gshadow? # ls -lrZ /etc/gsh* ----------. root root system_u:object_r:shadow_t:s0 /etc/gshadow- ----------. root root system_u:object_r:shadow_t:s0 /etc/gshadow # ls -lrZ /etc/sha* ----------. root root system_u:object_r:shadow_t:s0 /etc/shadow- ----------. root root system_u:object_r:shadow_t:s0 /etc/shadow Sprawdziłem, że pliki shadow/gshadow należą do pakietu "setup" rpm -qf /etc/gshadow setup-2.8.48-1.fc17.noarch ]# rpm -qf /etc/shadow setup-2.8.48-1.fc17.noarch W pakiecie "setup" także brak uprawnień dla obu plików. Link to comment Share on other sites More sharing options...
Guest Posted June 5, 2012 Report Share Posted June 5, 2012 Nikt nie musi ich czytac i zmieniac za wyjatkiem roota, a jezeli user ma uid==0 (root) to uprawnienia DAC nie sa sprawdzane przez kernel, dlatego wszystko jest ok Link to comment Share on other sites More sharing options...
Fedoras Posted June 6, 2012 Author Report Share Posted June 6, 2012 Domyslam sie, ze jest to jedna z nowosci w F17. W F16 bylo: -r-------- 1 root root /etc/gshadow -r-------- 1 root root /etc/shadow W innych dystrybucjach jest najczesciej: -r-------- 1 root root /etc/gshadow -rw------- 1 root root /etc/shadow lub: -rw------- 1 root root /etc/gshadow -rw------- 1 root root /etc/shadow Czy ta nowosc jest gdzies opisana, w jakiejs dokumentacji? Od kiedy jadro decyduje o dostepie do plików i zajmuje sie sprawdzaniem usera? Link to comment Share on other sites More sharing options...
@WalDo Posted June 6, 2012 Report Share Posted June 6, 2012 Od kiedy jadro decyduje o dostepie do plików i zajmuje sie sprawdzaniem usera?Wg mnie od zawsze. Przynajmniej jesli chodzi o sprawdzanie GID=0, co do innych nie jestem pewien, ale logicznie rzecz biorac powinno byc tak samo. Co do uprawnien w F16 to u mnie /etc/gshadow i /etc/shadow równiez maja uprawnienia 000. Link to comment Share on other sites More sharing options...
Fedoras Posted June 6, 2012 Author Report Share Posted June 6, 2012 Mój blad. Zapomnialem, ze od 2008 roku robilem aktualizacje przez yum i dopiero uniemozliwienie w F17 uzywania osobnej partycji /usr zmusilo mnie do przebudowy dysku i czystej instalacji. Czyli zostalo to wprowadzone wczesniej niz w F16, a moje pliki posiadaly wczesniejsze uprawnienia. W ramach testu prosze sprawdzic co sie stanie gdy w /etc/selinux/config wylaczy sie calkowicie opcje selinux: "#SELINUX=" U mnie, po restarcie wlaczyl sie w trybie permissive. Jak inne programy reaguja na plik nie posiadajacy zadnych uprawnien? Czy traktuja go jako niedostepny czy wrecz przeciwnie, jako plik bledny i dostepny dla wszystkich? Podtrzymuje pytanie o jakas dokumentacje do tego rozwiazania. Link to comment Share on other sites More sharing options...
morsik Posted June 6, 2012 Report Share Posted June 6, 2012 @Fedoras: tylko, ze # to znak komentarza, wiec jesli w pliku masz wpisane "#SELINUX=" to to nie jest ustawione dalej, bo to tak jakby tej linijki nawet tam nie bylo Link to comment Share on other sites More sharing options...
Fedoras Posted June 6, 2012 Author Report Share Posted June 6, 2012 (edited) Tak oczywiscie. Troche skrócilem wypowiedz. Chodzilo mi o to, ze wstawilem ten hasz zeby z configa nie bylo zadnych parametrów. I selinux domyslnie uruchomil sie w trybie permissive. Tak z ciekawosci sprawdzilem: # find / -type f -perm 000 -ls 0 ---------- 1 root root 0 cze 6 8:48 /run/cron.reboot oraz /run/user/jakis_uzytkownik/gvfs : Brak dostepu i okazalo sie, ze te dwa pliki tez nie maja zadnych uprawnien. Ale ja mam dosc chudy system. Sam system + Gnome EDIT Troche szukalem i niewiele znalazlem. https://docs.redhat....n_Security.html Powyzszy link odsyla do Guide to the Secure Configuration of Red Hat Enterprise Linux 5, a tam rozdzial 2.2.3.1 nie pozostawia zludzen, jakie powinny byc uprawnienia shadow i gshadow (# chmod 400 shadow gshadow). Co prawda RHEL 5 ma juz pare lat i w zabezpieczeniach wiele moglo sie zmienic. Stad moja ponowna prosba do @Artur_S o podeslanie jakiegos linka z szerszym opisem takiego rozwiazania "bezuprawnieniowego". Ciekawi mnie tez jakie jeszcze pliki korzystaja z tego rozwiazania. Ze stopki wynika, ze mozesz miec wiedze i lepszy dostep do zasobów informacyjnych RH niz ja czy inni uzytkownicy forum. Jako ciekawostka - jeszcze jeden link: https://www.redhat.c...rd-HOWTO-7.html Tu, dla odmiany plik gshadow powinien miec uprawnienia 700 (rozdz. 7.4). I rzeczywiscie pamietam, ze kiedys gshadow byl wykonywalny. Tez mnie to dziwilo. EDIT 2 Wyglada na to, ze problem jest szerszy: # find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls ... ---x--s--x 1 root ssh_keys 248420 kwi 6 21:26 /usr/libexec/openssh/ssh-keysign ---x--s--x 1 root nobody 120228 kwi 6 21:26 /usr/bin/ssh-agent ... ---s--x--x 2 root root 77372 maj 17 14:00 /usr/bin/sudoedit ---s--x--x 2 root root 77372 maj 17 14:00 /usr/bin/sudo ... Tym bardziej warto cos poczytac na ten temat. Edited June 8, 2012 by Fedoras Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now