[lug-ld] 100 Punkte an Christian B. für Bsp. "schreiben/lesen in /tmp"

Mo Okt 24 07:32:33 CEST 2022

Hallo Heinz,

Mit das, zugegeben magere Rechtesystem, kann unter Linux vieles erreicht
werden.

Unixoide kennen Anwender (user), Gruppen (group) und Andere (other).
Damit können, gezielt, die Zugriffsmöglichkeiten auf gemeinsame Daten
oder Anwendungen festgelegt werden.

Im Familienunternehmen könnten die Gruppen eltern, jugendliche und
kleinkind erstellt werden.

Anne und Bernd, die Eltern dürfen auf alles zurückgreifen und sind
dementsprechend Mitglied der 3 erwähnte Gruppen.

Christian ein der jugendliche ist Mitglied der Gruppe jugendliche.

Doris, mit seine 4 Jahre ist Mitglied der Gruppe kleinkind.

Damit kann bei entsprechende Setzen der Rechte für die gemeinsame Daten
die Zugriffsberechtigung gesetzt werden.

Für Anwendungen gilt entsprechendes.

Unter Verwendung der POSIX-ACL kann ein wenig mehr erreicht werden.

LG,

Jean-Jacques

Am 23.10.22 um 21:48 schrieb Pahle Heinz:
> Lieber Christian Boltz, liebe LUGer,
> 
> (sehr) gute Beispiele erklären mehr als 1000 Worte (bei denen ich nicht
> recht verstand). Ich bin total begeistert vom Spezial-Beispiel Christian
> B. "alle dürfen in /tmp schreiben/lesen" (und was kann pasieren, wenn
> ein böser Bube...). Es geht eigentlich um Einträge in die PATH-Variable.
> 
> Für mich stellen sich dennoch Fragen, was einem Rütteln am Beispiel
> gleich kommt: Multiuser auf Desktop-Systemen, die eigentlich "personal"
> sind? Das Beispiel ist wohl eher für Server relevant. Oder hat ein LUGer
> zuhause am PC unter Linux noch extra Terminals, also komplette Konsolen,
> angedockt und einige hacken gleichzeitig? Ich glaube es erst einmal nicht.
> Bei Desktop-PCs als Familienrechner kann man zwar nicht von
> Multiusersystem nach Definition sprechen, aber das Problem, wie es
> Christian beschrieb kann auch bei mehr als einem Benutzer (hier
> nacheinander arbeitend) eintreten. Eine Verhinderung mit
> Lese-/Schreiberecht ist bei Windows via Freigabe möglich. Auf die
> Schnelle habe ich keine Möglichkeit gesehen, wie man ausführbare Apps
> aussperren kann, also, Unheil nicht ausgeschlossen. Diese Unheil habe
> ich bis dato ignoriert. Außerhalb der Freigabe-Möglichkeit gibt es noch
> die Standard-Rechtevergabe, bei der auch "ausführbar zulassen/verbieten"
> vorkommt. Da hat sich, auf die Schnelle nachgesehen, Wichtiges
> wechselweise ausgeschlossen (geht möglicherweise doch). Ich gebe mich
> jetzt als Gutgläubiger, dem keine bösen Apps in Daten-dirs eingestreut
> werden. Es gibt privat auch keine Sabateure, die, weil sie gefeuert
> werden, noch kräftig Unheil anrichten (oder maqcht das Sohnemann, dem
> man das Taschengeld kürzt?). Eine Umfrage bei Freunden ergab, dass die
> (Freunde) sich eher aus Dusseligkeit Dateien geplättet haben.
> 
> Zusammengefasst bei Windows:
> Das gezeigte Problem von Christian, bleibt ungelöst. D.h.: Gemeinsame
> Daten-Bereiche sind nach meinem Wissensstand gefährdet, NICHT JEDOCH DIE
> GEKAPSELTEN BENUTZERBEREICHE.
> Dennoch Lichtblick:
> Bei Apps, wie z.B. Office-Paketen werden bereits Berechtigungen
> eingebaut und diese Bereiche sind nur mit Dokumenten gefüllt und die
> Dateien können nur von Office-Apps geöffnet werden. Ein
> einschleußen/ausführen böser Apps ist damit nicht möglich. Klar,
> Standardeinbruchstellen, wie "buffer overflow" darf es nicht geben.
> Ich gehe davon aus, dass sich MS auf BS-Ebene nicht um GEMEINSAME
> Datenbereiche kümmert, verlagert diese Sicherheit in Apps. Das
> bestätigte sich. Ich habe experimentiert und bemerkt, dass eine
> Rechtvergabe von meinen eigenen "Terminal-"Apps bachtet wurde, nicht
> jedoch von GUI-Apps.
> 
> Gruß Heinz
> 
> PS:
> Lieber Christian, bleibe bei lebendigen Beispielen, wie Du die auch bei
> Zusammenkünften "raus haust". Außerdem sind (Code-)Beispiele beste
> Vorgaben, um den Mitbewerb zu testen :))
> 
> _______________________________________________
> lug-ld mailing list
> lug-ld at lists.lug-ld.de
> http://lists.lug-ld.de/mailman/listinfo/lug-ld