© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Wed, 2 Jul 2008, Manfred Lotz wrote:
> Ich habe mal eine OT Frage. Habe jetzt in einer Situation erlebt (aus
> Confidential Gründen kann ich nicht sagen, wo), dass bei der Benutzung von
> sudo vorgeschrieben wurde, dass wenn in der /etc/sudoers Aufrufe von scripts
> vorkommen, diese root:root gehören müssen und keinen Zugriff von others
> erlauben dürfen, also xy0 als Perm haben müssen.
>
> Eine fachliche Begründung konnte keiner der Beteiligten geben, mir ist auch
> keine eingefallen.
Hallo Manfred,
die fachliche Begründung ist: Niemand außer root soll Skripte ändern
können, die mit root-Rechten ausgeführt werden können. Deshalb kein
Schreibzugriff für "others". Soweit ist das einleuchtend.
Weiterhin soll sie auch niemand lesen können. Gerade bei Skripten hat das
einen gewissen Charme, denn sie bestehen ja aus menschenlesbarem
Quelltext, u.U. findet man dort sogar Passwörter o.ä.
Man könnte das Leseverbot als Security by Obscurity bezeichnen. Aber das
ist ja per se nicht schlecht, wenn das Sicherheitskonzept nicht alleine
darauf aufbaut. Ich finde die Maßnahme nicht überbordend wirkungsvoll,
aber auch nicht sinnlos.
Den Einwand, dass jemand, der das Skript benutzt auch gerne wissen würde,
was es tut, finde ich berechtigt. Man könnte dieses Problem dadurch lösen,
dass man root:gruppe statt root:root als Besitzer der Skripte nimmt und
allen Mitgliedern von gruppe Lesezugriff erlaubt.
-- Gruß, Dominik To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 04 Jul 2008 - 10:20:19 CEST