Casto mi vyskakuje hlaska, ze si mam pozriet zapis v /var/log/security/mail.today a v nom je:
*** Security Check, kvě 30 20:49:31 ***
*** Check executed from: /etc/cron.weekly/msec ***
Report summary:
Test started: kvě 30 20:49:31
Test finished: kvě 30 20:49:51
Total of Suid Root files: 46
Total of Sgid files: 21
Total of World Writable files: 4372
Total of Un-owned files: 0
Total of Un-owned group files: 13907
Total of SUID files with controlled MD5 checksum: 46
Total of installed packages: 1777
Sectool check: skipped (sectool not found)
Detailed report:
Security Warning: World Writable files found :
a nasleduju vsetky moje subory co mam v /home/
Co to znamena ? Ze su pristupne z internetu ci co ?
ano. takze na tvojom mieste okamzite odpojim pc od internetu a cely ho preinstalujem, pretoze sa ti tam uz "nieco" spusta cez "/etc/cron.weekly/msec". a preskenoval by som si antivirom aj vsetky ostatne data a zalohy, pretoze sa uz mohlo nieco infikovat.
Nestraš ľudí prosím ťa. Typujem že ide len o začínajúceho linuxáka, ktorý si nejakým príkazom zmenil práva všetkých osobných súborov. A ten Mandriva security tool ho len chce na to upozorniť.
Včera som bol na grilovačke, bez internetu. Takže si reagoval na miestneho redaktora časopisu zem a vek, na samúlamu.
sry
To je v pohode. Teda, možno ani nie, ak tak veľmi odlišný typ prejavu dokázal niekoho pomýliť.
nepises aku mas distribuciu
http://www.brunolinux.com/07-Security/Mandriva_Security_Settings.html
Ma to v podpise.
Deje sa to na PCLinuxOS LXDE, v nedelu som system preinstaloval a co sa tyka tych suborov, vzdy po preinstalovani systemu spustim aj v admin mode chown rado /home -R Do sshd davam zamerne na prvy riadok chybny zapis, aby sa sshd nerozbehol, lebo nieco tam samo vzdy prepisuje polozku PermitRootLogin z no na without-password Ale ten cron este pozriem, crontab -e pouzivam, mam tam nastavene autoaktualizacie, v Lubuntu to nefungovalo, ale v PCLinuxOS to ide super.
Zaujímavý spôsob konfigurácie. Keď pridáš ďalšieho užívateľa, tak ho cez ten chown odpáliš. Namiesto vypnutia služby alebo jej odinštalovania radšej znehodnotíš jej konfiguráciu. Rád by som si pozrel podobnú poštu po takýchto zásahoch, ale celú.
Toto ti kto poradil? V živote som to nerobil, ale keď už tak
Nie je nič horšie ako počúvať blbé rady.
Typu?:
:)
Ale kde na to tí ľudia chodia, pochybujem že tú radu má odtiaľto.
Na ten sshd mu už minule bolo odporúčané aby si to odsledoval. Aj keď môj osobný názor je že nahodená auditovacia služba porovnáva aktuálne nastavenia s klikátkami, a prepisuje to s5.
A ohľadne tej zmeny vlastníka na celý home? Podľa chybovej hlášky Security Warning: World Writable files found :sa jednalo aj o iný príkaz.
Ale z púvodného reportu mu asi chýbajú nejaké riadky. Síce ten nástrpj nepoznám a nepoužívam, ale pripadá mi že tam bol vynechaný riadok s kontrolou MD5 pre SGID, ak kontrola pre SUID bola v poriadku.
Iba ja sam pouzivam ten pocitac, preto jediny uzivatel adresara home som iba ja a nikto iny, to rado:rado si precitam/vyskusam ako to je - dakujem za radu, vypis obsahuje moje subory, potom to poslem, teraz nemam pristup k mojm PC, to MD5 tiez pozriem...
To vieš, jedná sa o bezpečnostný report s výsledkami ktoré sa tomu nástroju nevidia. Nie je to komletný report, ale poukazuje na možné problémy a nájdené riziká ktoré sú odchýľkou od pôvodného konceptu ktorý je východzí v danej distribúcii.
PS: Ty si neni jediný užívateľ priečinku /home, Ty si jediný užívateľ priečinku /home/rado. To nie je slovíčkarenie, to je rozdiel. Pravdepodobne si si v ňom spustil navyše chmod o+rw a preto to vyhlasuje že tvoje údaje sú zapisovateľné pre každého užívateľa čo má na tom kompe konto, vrátane kadejakých aplikačných služieb ako je napríklad web. A s tým zvyškom? Sú aj lepšie spôsoby ako to nastaviť.
Iny uzivatel nie je, len rado. Este v Lubuntu bolo take, ze pri odhlaseni sa dalo spustit "host", to ak niekto prisiel a na chvilu potreboval nieco na nete pozriet, ale inak okrem rado tam iny uzivatel v home nie je. (Uz len root ale to nie je v home)
Inak, to pouzivanie prikazu mam z
http://linuxos.sk/clanok/intenzivny-rychlokurz-prikazov-linuxu/
Citujem:
chown používateľ cieľ -R
Nastaví vlastníka (meno) cieľa (súbor alebo adresár), -R znamená rekurzívne (ak je to adresár).
Dobré :)
Lenže franta tam nepíše aby si spravil chown na celý home.
On len vysvetluje o čo ide. Príklad:
Vo /var/www/html nastavíme celú zložku pre apacha
Pokiaľ v nej stojíme tak:
Ok, kedze iny uzivatel okrem rado v home nie je a nikdy nebude, tak by to hadam nemal byt problem, to druhe :apache znamena nazov skupiny ? Ja asi skupinu nemam, myslim.... Alebo sa vytvara skupina automaticky s vytvorenim uzivatela ?
Najprv si pozri toto, potom sa zamysli či potrebuješ mať /home ako svoj priečinok ak je tvoj priečinok až /home/rado (pomôcka: v popise je plurál). Potom sa zamysli nad právami kde si podľa toho reportu sprístupnil tvoj osobný domovský priečinok hocičomu bežiacemu na tom stroji. Skupiny máš priradené, skontroluj si ich príkazom id.
PS ten posledný príklad (Pokiaľ v nej stojíme tak:) by som nespúšťal, chýba tam bodka určujúca relatívnu cestu a tak to odpáli systém až tak, že asi ani nenabehne.
Ale, to je jedno. Ak si vykonávať zmeny v koncepte bezpečnosti, tak by si tomu mohol aspoň trochu rozumieť. Inak napáchaš viac škody ako úžitku keďže východzia politika je obvykle už otestovaná ľuďmi ktorí sa tomu aspoň trochu rozumejú.
Skoda, je to cele po angl., inak toto mi chyba, nejaka ucelena prirucka k Linuxu, to co mam, co som stiahol je z rokov 2001,2002 a podobne a to uz je stare. Ak chcem nastavit prava "iba pre seba" ako ma zniet prikaz chown aby to bolo dobre, co sa tyka bezpecnosti aj toho, ze casto preinstaluvam system a musim mu nejak povedat, aby adresare a subory pod povodnym rado boli pristupne aj u noveho "Rada"...
Odbornejšie návody ktoré sú aj aktuálnejšie nájdeš vždy len v angličtine keďže to je reč informačných technológií. Každý preklad trvá nejakú dobu, takže nečakaj že budeš mať k dispozícii niekoho čo bude na Tvoj podnet prekladať všetky príručky čo si zmyslíš. Jednak by nemal čo iné na práci (napríklad taká kniha LDP číta niekoľko stovák strán a nie je jediná), a jednak by to nestíhal udržiavať aby tie preklady nezastarali. Ale môžeš použiť nejaký prekladač, napríklad google translator.
Ak chceš vedieť ako by to malo byť, tak si vytvor nového užívateľa a stiahni pod ním jeden obrázok z internetu na disk. O týždeň si to môžeš skontrolovať cez tý bezpečnostnú previerku, a budeš verieť ako to má byť.
PS: nerozumiem na4o potrebuješ časté reinštalácie, ale asi Ťa to baví. Mne jedna inštalácia vydrží pekných pár rokov. Obvykle až do smrti daného počítača. A prestavenie vlastníka pre HOME? keď si pozrieš atribúty súborov, tak tam uvidíš vlastníka, prac.skupinu a práva. To prestavenie, ak by náhodou bolo potrebné sa v pohode dá urobiť príkazom sudo chown user:user -R /home/user. Ale obnykle to nie je potrebné keďže číslo užívateľa a skupiny začína na preddefinovanej sekvencii, a prvý užívateľ vytvorený pri inštalácii má to číslo po reinštalácii úplne zhodné. Pri inštalácii iného Linuxu to môže byť inak pretože nie je uzákonené či užívatelia začínajú na stovke, päťstovke alebo tisícke. To číslo môže závisieť aj od hodinovej taxy.
Ano, je to tak, ze pravidelne po 2-3 mesiacoch skusam ine distribucie, lebo sucasna ma uz nudi, vacsinou sa vzdy potom aj tak vratim k povodnej...
Ja to riešim tak, že pre ďalšiu distribúciu spravím ďaľší oddiel na disku o veľkosti 10 až 20GB. Home pre niektoré distribúcie nechávam stále to isté (meno mám to isté a práva nemením), pre niektoré vytvorim novú partíciu pre /home. Momentálne takto používam štyri distribúcie a úplná spokojnosť. No a môj najnovší favorit je antiX 15 beta V. Nieje tam sysremd a funguje rock stable, hoci je to beta a je to vlastne prebalený Debian testing (dá sa používať aj ako Debian stable).aj na atome to lieta a bootuje fantasticky kde mal Debian so systemd večne problémy s uspávaním a prebudzaním. No a zázračne bootuje aj rýchlejšie bez paralelného spúšťania procesov, ale to bude hlavne kvôli klasickému eSATA disku na SSD by to asi bolo inak.
Na to existujú virtuálky.
Načo zasa útočíš?? Som sa pomýlil, samozrejme že tam má byť ./*
Ty berieš upozornenie bez emócií na chybu ako útok? Tak to ale nie je moj problém.
:DDDD
uz dost!!!
:DDDD
uz presta ty odbornik!!!
:DDDD
K veci prosím: Ak chcem nastavit prava "iba pre seba" ako ma zniet prikaz chown aby to bolo dobre, co sa tyka bezpecnosti aj toho, ze casto preinstaluvam system a musim mu nejak povedat, aby adresare a subory pod povodnym rado boli pristupne aj u noveho "Rada"... A nejaku logicku ucelenú príručku v el. podobe ?
nema zmysel ti davat nejaky prikaz a ine, ked nerozumies principom unixu/linuxu. takze zatial vsetko povypinaj, poodhlasuj sa a najprv si precitaj LDP. a potom sa (mozno) mozes pustit do niecoho ineho...
Inak, to pouzivanie prikazu mam z
http://linuxos.sk/clanok/intenzivny-rychlokurz-prikazov-linuxu/
Citujem:
chown používateľ cieľ -R
Nastaví vlastníka (meno) cieľa (súbor alebo adresár), -R znamená rekurzívne (ak je to adresár).
*** Security Check, kvě 30 20:49:31 ***
*** Check executed from: /etc/cron.weekly/msec ***
Report summary:
Test started: kvě 30 20:49:31
Test finished: kvě 30 20:49:51
Total of Suid Root files: 46
Total of Sgid files: 21
Total of World Writable files: 4372
Total of Un-owned files: 0
Total of Un-owned group files: 13907
Total of SUID files with controlled MD5 checksum: 46
Total of installed packages: 1777
Sectool check: skipped (sectool not found)
Detailed report:
Security Warning: World Writable files found :
- /home/rado/01.jpg
- /home/rado/8732_5c84.jpeg
- /home/rado/ATT00001.jpg
.
.
.
.
Sectool check skipped: sectool not found
To je cely vypis, samozrejme kopu suborov tu nebudem vypisovat...
Daj sem vystup ls -l /home/rado/01.jpg
A aj ls -l /home
zeby
alebo mozno este lepsie
:D
-rw-r-- 1 rado rado 8398 čen 1 16:34 pozn.txt
-rw-rw-r-- 1 rado rado 1495633 čec 21 2014 1-1.jpg
drwx------ 4 rado rado 4096 pro 27 21:38 Amaro/
drwxr-xr-x 71 rado rado 12288 čen 1 17:56 rado/
drwxrwxr-x 3 rado rado 102400 čen 1 16:21 archives/
drwxr-xr-x 3 rado rado 114688 kvě 31 09:30 archives32/
drwxrwxr-x 11 rado rado 4096 pro 27 21:38 a_uss/
drwx------ 2 rado rado 16384 říj 7 2010 lost+found/
drwxr-xr-x 3 rado rado 4096 pro 5 2011 mysql/
drwxr-xr-x 3 rado rado 4096 pro 27 21:38 pcguest/
-rw-r--r-- 1 rado rado 94449096 kvě 23 10:38 video.flv
drwxrwxr-x 6 rado rado 4096 pro 27 21:37 Vid/
Rozumiem tomu správne, že to už máš vyriešené keď si zrušil ten príznak na zápis pre others/osztatných?
No spustil som ako Ste radili pod rootom chown -R rado:rado /home, co ukazovalo predtym nemam sajnu, ale ked to cele boo iba v tom, ze treba uviest aj meno skupiny a bez nej to je cele pristupne "vsetkemu", tak by to malo byt v popisoch/navodoch ako upozornenie, nie len ze: "chown používateľ cieľ -R
Nastaví vlastníka (meno) cieľa (súbor alebo adresár), -R znamená rekurzívne (ak je to adresár)."
Nastavil si že súbory a adresáre patria tebe a ďalším ktorí sú v tvojej skupine. Práva vlastníkovi, skupine a ďalším určuje
Prvé tri znaky za - určujú že vlastník ma právo na čítanie "r", právo na zapisovanie "w" a keď na ďalšom znaku bude "x" tak ten súbor môžeš spustiť ako program, ďalšie tri znaky označujú právo pre užívateľov v tvojej skupine a posledné tri pre ostatných, ktorí majú v tomto prípade "r", čiže to môžu čítať, toto je len príklad. Pokiaľ chceš ostatným zamedziť čítať tvoje súbory, tak medzi poslednou trojicou nemôže byť "r--", ale len "---".No a "d" na začiatku znamená že ide o priečinok a nie súbor.
Ak by som to chcel zmenit tak, ze mozem citat aj zapisovat iba ja a nikto ani zo skupiny ani ostatny nemozu, musim pouzit prikaz chmod alebo to ide aj cez chown ? Cez chmod som si raz cely system znicil, zrusil som spustanie x aj u adresarov a vsetkom otatnom...
Príkazy chmod a chown majú každý svoje určenie. Pre každý príkaz je iné. A s tým zlým použití m chmod? Kôli nemu ti prišiel tento report na ktorý si sa pýtal. Verím, že sa ti to už ndstane.
Ale stane..... :)
Chmod mení práva pre užívateľa, skupinu a ostatných, chown mení vlastníka súboru a skupinu.
Čo sa týka práv pre domovský adresár to je dosť problematická otázka, pretože napríklad ja tam mám súbory z rôznymi privilégiami a nebolo by to úplne jednoduché znovu dať dohromady.
Pokiaľ chceš ostatným len zamedziť čítať z tvoho /home/rado, tak im treba toto právo odobrať, čo spravíš príkazom:
Ked skusam ine distribucie, musim nastavovat prava a pristupy, aj preto, ze niekedy je moj adresar rado, inokedy na skusku len ado... Takze musim pouzit aj chown aby som sa vedel dostat k starym suborom. Takze podla toho by som mal pouzit najprv chown aby som nastavil vlatnika suborov a potom chmod aby som nastavil, ze iba ja sa budem moct so subormi hrat, ci uz budem ado alebo rado ?
Áno.
http://cs.wikipedia.org/wiki/Chown
Tak si nechaj pre súbory vlastníka rado, skupinu ado a neotravuj už :)
Nemusíš. Ak to náhodou vyskúšaš, tak to pochopíš.
ty vole ty si zaostaly alebo co? ked nedokazes pochopit, co ti tu pisu a nedokazes si precitat aspon 2 blbe manualy, tak sa na to radsej vykasli a chod okopavat zahradku, pretoze na to proste nemas...