Re: scp opsætning

From: Lasse Thomsen (none@lasse--tt-trading.dk.lh.bsd-dk.dk)
Date: Mon 15 Sep 2003 - 17:25:20 CEST 

Subject: Re: scp opsætning
From: Lasse Thomsen <none@lasse--tt-trading.dk.lh.bsd-dk.dk>
To: bsd-novice@bsd-dk.dk
Date: Mon, 15 Sep 2003 17:25:20 +0200

On Mon, 2003-09-15 at 12:17, Dennis Kjær Jensen wrote:
> > Hejsa.
> >
> > Jeg har derfor så brugt dagen i dag på at læse om rettigheder til
> filer
> > og mapper på
> > http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/basics.html
> >
> > Og det ser da også ganske smart ud. Problemet er det at jeg ikke gider
> > til at give alle mine filer og mapper helt nye permissions (kan jeg
> > måske blive nød til).
> >
> > Så jeg tænkte om man kunne lave en gruppe af brugerne som der kun har
> > adgang til nogle meget få mapper, dvs de får tildelt sådan at de kun
> kan
> > læse/skrive de mapper som jeg efterfølgende giver dem adgang til. Det
> > vil jo være ret besværligt hvis jeg skal sidde og rette /etc /var osv
> > til, fordi at nogle få brugere skal have adgang til et par mapper på
> > serveren. Så hvis man kan lave en sådan gruppe af brugere, hvordan
> skal
> > det så gribes an?
> Nææh - hvorfor skulle du det?
> Hvis du bare tilføjer en bruger mere og giver ham SCP adgang kan måske
> nok læse de fleste filer i /etc. Og hvad så? Det udgør ikke ligefrem
> nogen sikkerhedsrisiko at brugeren f.eks. kan se hvilke parametre du
> starter sendmail med. Den eneste ting jeg lige kan der måske ville være
> en lille smule kritisk er at han kan se de andre brugeres navne, men
> hva' fa'en. Det gør jo reelt set heller ikke noget. /etc/shadow er
> stadig ikke læsbar af ham, og dermed kan han ikke komme til at bryde de
> andre brugeres passwords med mindre han virkelig bestemmer sig for at
> spilde båndbredde på at forbinde sig til din server igen og igen.
> Desuden står det i den daglige rapport som Hr Charlie Root sender til
> dig hvis der er nogle brugere der har forsøgt at logge sig på systemet
> med et ugyldigt password, så i værste tilfælde vil du blive opmærksom på
> det efter maksimalt et døgn. Forudsat at du læser dine mails,
> naturligvis. Og det gør man selvfølgelig som den ansvarsbevidste
> systemadministrator man er, ikke? :-)
>
> Jeg ville bare opreette en ny gruppe og give dem en mappe et eller andet
> sted på serveren og lade den mappe have g+rw rettigheder. Det er som
> sagt ikke den store sikkerhedsrisiko at brugerne kan læse de generelle
> filer på systemet - langt størstedelen af dem kan de jo alligevel hente
> fra freebsd.org
>
Det kan godt være det ikke giver nogen større sikkerhed, men jeg bryder
mig ikke om at folk kan gå ud af det bibliotek jeg har givet dem og
kigge rundt i systemet. Det er meget kosmetisk for mig. Og da de folk
som der skal have adgang til systemet ikke er verdens mest it-kyndige,
så vil det kun forvirre dem mere hvis de kan gå en mappe længere op.

Er det helt umuligt at gøre sådan?

MVH: Lasse Stig Thomsen

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:08 CET