|
|
 | Ubuntu: unprivileged user har for mange re~
Fra : Kim Ludvigsen |
Dato : 10-03-09 20:13 |
|
Når jeg opretter en ny brugerkonto i Ubuntu (både 8.10 og
9.04 alpha 5) og vælger unprivileged user, har brugeren som
standard ingen af rettighederne på fanen Brugerrettigheder:
http://kimludvigsen.dk/projekter/ny_bruger.png
Men det er Ubuntu tilsyneladende fuldstændig ligeglad med.
Selvom brugeren ikke skulle have adgang til ethernet og
cd-drev, så har brugeren ingen problemer med at gå på nettet
og læse indholdet på en cd.
Samtidig kan brugeren tilgå filer i andres hjemmemapper
(omend ikke skrive i mapperne). Hvis jeg bruger Ubuntus
indbyggede gæstekonto, er det ikke muligt at tilgå andres
hjemmemapper.
Spørgsmål:
Har jeg misforstået noget mht. til den forventede opførsel?
Kan andre bekræfte samme opførsel?
Er der en af indstillingerne på ovenstående billede, der
forhindrer adgang til andres hjemmemapper (hvis altså det
virkede)? Eller hvordan forhindrer man adgangen i
indstillingerne for den pågældende bruger?
--
Mvh. Kim Ludvigsen
http://pc-sikkerhed.dk
| |
 Jesper Lund (10-03-2009)
| Kommentar
Fra : Jesper Lund |
Dato : 10-03-09 20:20 |
|
Kim Ludvigsen wrote:
> Er der en af indstillingerne på ovenstående billede, der forhindrer
> adgang til andres hjemmemapper (hvis altså det virkede)? Eller hvordan
> forhindrer man adgangen i indstillingerne for den pågældende bruger?
$ chmod o-rx /home/whoever
burde gøre det.
--
Jesper Lund
| |
Kim Ludvigsen (10-03-2009)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 10-03-09 20:31 |
|
Jesper Lund skrev:
> Kim Ludvigsen wrote:
>
>> Er der en af indstillingerne på ovenstående billede, der forhindrer
>> adgang til andres hjemmemapper (hvis altså det virkede)? Eller hvordan
>> forhindrer man adgangen i indstillingerne for den pågældende bruger?
>
> $ chmod o-rx /home/whoever
Gælder det ikke for alle brugere? Jeg er interesseret i en
indstilling, der forhindrer den upriviligerede brugers
adgang, og ikke nødvendigvis andre brugere. Og gerne via GUI'et.
--
Mvh. Kim Ludvigsen
http://pc-sikkerhed.dk
| |
Kent Friis (10-03-2009)
| Kommentar
Fra : Kent Friis |
Dato : 10-03-09 20:38 |
|
Den Tue, 10 Mar 2009 20:13:18 +0100 skrev Kim Ludvigsen:
> Når jeg opretter en ny brugerkonto i Ubuntu (både 8.10 og
> 9.04 alpha 5) og vælger unprivileged user, har brugeren som
> standard ingen af rettighederne på fanen Brugerrettigheder:
> http://kimludvigsen.dk/projekter/ny_bruger.png
>
> Men det er Ubuntu tilsyneladende fuldstændig ligeglad med.
> Selvom brugeren ikke skulle have adgang til ethernet og
> cd-drev, så har brugeren ingen problemer med at gå på nettet
> og læse indholdet på en cd.
>
> Samtidig kan brugeren tilgå filer i andres hjemmemapper
> (omend ikke skrive i mapperne). Hvis jeg bruger Ubuntus
> indbyggede gæstekonto, er det ikke muligt at tilgå andres
> hjemmemapper.
>
> Spørgsmål:
> Har jeg misforstået noget mht. til den forventede opførsel?
De ting du ser i det vindue, er *yderligere* rettigheder, udover
hvad brugeren normalt har.
"Brug CD-ROM drev" er fx at kunne mount'e / umount'e CD'en. Hvad
man kan når først CD'en er mount'et, kommer an på rettighederne på
filerne på CD'en, hvis filsystemet supporterer det, ellers på hvilke
rettigheder der er angivet i /etc/fstab.
"Connect to wireless and ethernet networks" giver rettigheder til
hvad der svarer til kontrol panel -> netværksforbindelser under
Windows. Det er ikke om hvorvidt man kan åbne en browser.
Og hvad angår retten til at kigge i andre folks mapper under /home,
kommer det an på rettighederne på mappen. Enten group (g) eller
other (o) rettigheder, afhængigt af om brugerne er i samme gruppe.
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
Kim Ludvigsen (10-03-2009)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 10-03-09 20:51 |
|
Kent Friis skrev:
> Den Tue, 10 Mar 2009 20:13:18 +0100 skrev Kim Ludvigsen:
>> Men det er Ubuntu tilsyneladende fuldstændig ligeglad med.
>> Selvom brugeren ikke skulle have adgang til ethernet og
>> cd-drev, så har brugeren ingen problemer med at gå på nettet
>> og læse indholdet på en cd.
>>
> De ting du ser i det vindue, er *yderligere* rettigheder, udover
> hvad brugeren normalt har.
>
> "Brug CD-ROM drev" er fx at kunne mount'e / umount'e CD'en.
Ja, men når det er fravalgt, burde det vel betyde, at
brugeren ikke kan mounte/unmounte?
> "Connect to wireless and ethernet networks" giver rettigheder til
> hvad der svarer til kontrol panel -> netværksforbindelser under
> Windows. Det er ikke om hvorvidt man kan åbne en browser.
Ok, så er det forklaret.
Ved du eller andre, hvordan man forhindrer brugeren i at få
internetadgang? Gerne gennem GUI'et.
> Og hvad angår retten til at kigge i andre folks mapper under /home,
> kommer det an på rettighederne på mappen. Enten group (g) eller
> other (o) rettigheder, afhængigt af om brugerne er i samme gruppe.
Det vil sige, at jeg skal finde den gruppe, som gæstekontoen
er medlem af, og så vælge den for den nye unpriveleged
bruger. Der er lidt at vælge mellem, og navnene giver ingen
antydning, nogen der ved, hvilken gruppe det er?
--
Mvh. Kim Ludvigsen
http://pc-sikkerhed.dk
| |
 Kent Friis (10-03-2009)
| Kommentar
Fra : Kent Friis |
Dato : 10-03-09 22:36 |
|
Den Tue, 10 Mar 2009 20:50:54 +0100 skrev Kim Ludvigsen:
> Kent Friis skrev:
>> Den Tue, 10 Mar 2009 20:13:18 +0100 skrev Kim Ludvigsen:
>
>>> Men det er Ubuntu tilsyneladende fuldstændig ligeglad med.
>>> Selvom brugeren ikke skulle have adgang til ethernet og
>>> cd-drev, så har brugeren ingen problemer med at gå på nettet
>>> og læse indholdet på en cd.
>>>
>> De ting du ser i det vindue, er *yderligere* rettigheder, udover
>> hvad brugeren normalt har.
>>
>> "Brug CD-ROM drev" er fx at kunne mount'e / umount'e CD'en.
>
> Ja, men når det er fravalgt, burde det vel betyde, at
> brugeren ikke kan mounte/unmounte?
Nu bliver jeg helt i tvivl om jeg har bildt dig noget ind... Der er
vist kun en indstilling til om alle brugere eller kun root kan gøre
det. Det er muligvis adgang til selve CD-ROM devicet, det drejer sig
om, altså ting som "cat /dev/cdrom > skive.iso", eject af CD'en (i
software), og evt. brænde CD'er.
Bruger Ubuntu iøvrigt ikke en eller anden form for auto-mount'er, så
brugeren slet ikke behøver mount'e noget? Det kan også være det der
forvirrer.
>> "Connect to wireless and ethernet networks" giver rettigheder til
>> hvad der svarer til kontrol panel -> netværksforbindelser under
>> Windows. Det er ikke om hvorvidt man kan åbne en browser.
>
> Ok, så er det forklaret.
>
> Ved du eller andre, hvordan man forhindrer brugeren i at få
> internetadgang? Gerne gennem GUI'et.
Firewall. Jeg kender ikke GUI'et.
>> Og hvad angår retten til at kigge i andre folks mapper under /home,
>> kommer det an på rettighederne på mappen. Enten group (g) eller
>> other (o) rettigheder, afhængigt af om brugerne er i samme gruppe.
>
> Det vil sige, at jeg skal finde den gruppe, som gæstekontoen
> er medlem af, og så vælge den for den nye unpriveleged
> bruger. Der er lidt at vælge mellem, og navnene giver ingen
> antydning, nogen der ved, hvilken gruppe det er?
Den type brugere har normalt hver deres egen gruppe, der hedder
det samme som brugeren. (brugeren ssh er i gruppen ssh, brugeren
httpd er i gruppen httpd, osv).
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
Henning (18-03-2009)
| Kommentar
Fra : Henning |
Dato : 18-03-09 11:12 |
|
Kim Ludvigsen wrote:
>> De ting du ser i det vindue, er *yderligere* rettigheder, udover
>> hvad brugeren normalt har.
>>
>> "Brug CD-ROM drev" er fx at kunne mount'e / umount'e CD'en.
>
> Ja, men når det er fravalgt, burde det vel betyde, at brugeren ikke kan
> mounte/unmounte?
ubuntu (og mange andre) har hal eller anden auto-mounter til at mounte
fx cd.
brugeren kan ikke lave en "umount /media/cdrom" men kan godt unmount via
gui.
> Ved du eller andre, hvordan man forhindrer brugeren i at få
> internetadgang? Gerne gennem GUI'et.
Jeg har set det løst på den måde at der er lavet en internet gruppe,
hvor diverse net-programmer (firefox, opera, pidgin etc) er sat op til
at tilhøre. Samtidig er wrold-rettigheder fjernet.
En lidt tosset løsning, men den virker - man skal bare huske at få alle
programmet med.
dvs
chgrp internet firefox-bin ....
chmod o- firefox-bin ....
> Det vil sige, at jeg skal finde den gruppe, som gæstekontoen er medlem
> af, og så vælge den for den nye unpriveleged bruger. Der er lidt at
> vælge mellem, og navnene giver ingen antydning, nogen der ved, hvilken
> gruppe det er?
Jeg tror ikke de gøre det på den måde.
Fordi guest stadig vil ha adgang hvis world har adgang.
Jeg ved ikke om de laver et root-jail som guest kører i, men det er en
rimelig omstændig ting at sætte op hver gang.
Jeg kører forsat 8.04, så jeg har ikke en maskine at kunne checke med.
/Henning
| |
Kim Ludvigsen (18-03-2009)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 18-03-09 12:07 |
|
Henning skrev:
> Kim Ludvigsen wrote:
>> Ved du eller andre, hvordan man forhindrer brugeren i at få
>> internetadgang? Gerne gennem GUI'et.
>
> Jeg har set det løst på den måde at der er lavet en internet gruppe,
> hvor diverse net-programmer (firefox, opera, pidgin etc) er sat op til
> at tilhøre. Samtidig er wrold-rettigheder fjernet.
Jeg har i mellemtiden fundet ud af, at det er alt for
omstændigt, så jeg har opgivet tanken.
> En lidt tosset løsning, men den virker - man skal bare huske at få alle
> programmet med.
Det er jo lige det.
Jeg ville skrive noget om det til begyndere, og man kan ikke
forvente, at de har styr på den slags.
> Jeg ved ikke om de laver et root-jail som guest kører i, men det er en
> rimelig omstændig ting at sætte op hver gang.
De har i hvert fald lavet et eller andet specielt, eftersom
gæstebrugeren har færre rettigheder end en unprivileged bruger.
--
Mvh. Kim Ludvigsen
http://kimludvigsen.dk
| |
Sune Vuorela (10-03-2009)
| Kommentar
Fra : Sune Vuorela |
Dato : 10-03-09 20:57 |
|
On 2009-03-10, Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Men det er Ubuntu tilsyneladende fuldstændig ligeglad med.
> Selvom brugeren ikke skulle have adgang til ethernet og
Ethernet-adgangen er jeg ret sikker på handler om adgang til ændring af
netværk-opsætning (medlemsskab af gruppen "netdev")
> cd-drev, så har brugeren ingen problemer med at gå på nettet
> og læse indholdet på en cd.
cd-drev omhandler direkte adgang, ikke monteringsadgang til, til cd'en.
Direkte adgang bruges til afspilning af lyd og til at brænde cd'er.
(Gruppen "cdrom")
Derudover er der "plugdev" for usbdimser, "powerdev" for
strømindstillinger og nogle flere.
> Spørgsmål:
> Har jeg misforstået noget mht. til den forventede opførsel?
Ja. Men jeg kan godt forstå misforståelsen.
/Sune
| |
Jesper Lund (10-03-2009)
| Kommentar
Fra : Jesper Lund |
Dato : 10-03-09 21:46 |
|
Kim Ludvigsen wrote:
>> $ chmod o-rx /home/whoever
>
> Gælder det ikke for alle brugere?
Jo, alle dem som ikke er i group for /home/whoever directory. SÃ¥ vidt jeg
ved er der ikke andre muligheder end group & other til at styre adgangen
til filer.
--
Jesper Lund
| |
Jesper Lund (10-03-2009)
| Kommentar
Fra : Jesper Lund |
Dato : 10-03-09 23:31 |
|
Kent Friis wrote:
> Bruger Ubuntu iøvrigt ikke en eller anden form for auto-mount'er, så
> brugeren slet ikke behøver mount'e noget? Det kan også være det der
> forvirrer.
Jo, hal i Gnome automounter for dig. Hvis du skal gøre det manuelt fra
terminalen, skal du være root (eller via sudo).
--
Jesper Lund
| |
|
|