Comments on: Security fail pt2: Userauthentifizierung in BASH http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/ ... aus dem Alltag eines Sysadmins Mon, 29 Aug 2011 23:42:29 +0000 hourly 1 http://wordpress.org/?v=3.2.1 By: stefan http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/comment-page-1/#comment-2501 stefan Wed, 14 Apr 2010 16:37:48 +0000 http://www.adminlife.net/?p=2208#comment-2501 @Claus: klar! Danke. @Frank: http://nfsworld.blogspot.com/2005/03/whats-deal-on-16-group-id-limitation.html Wow, so eine Altlast - gut, dass ich kein NFS nutzen muss. ;) @Tim: Je nach Benutzung schon - siehe nächster Post. ;) @Claus: klar! Danke.

@Frank: http://nfsworld.blogspot.com/2005/03/whats-deal-on-16-group-id-limitation.html
Wow, so eine Altlast – gut, dass ich kein NFS nutzen muss. ;)

@Tim: Je nach Benutzung schon – siehe nächster Post. ;)

]]> By: Tim http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/comment-page-1/#comment-2499 Tim Wed, 14 Apr 2010 11:20:56 +0000 http://www.adminlife.net/?p=2208#comment-2499 Oder statt mit $USER einfach mit dem netten Befehl id -n arbeiten, der lässt sich imho nicht so leicht fälschen... Oder statt mit $USER einfach mit dem netten Befehl id -n arbeiten, der lässt sich imho nicht so leicht fälschen…

]]> By: Claus http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/comment-page-1/#comment-2498 Claus Wed, 14 Apr 2010 05:12:28 +0000 http://www.adminlife.net/?p=2208#comment-2498 Nicht dass es eine große Rolle spielt, aber in der if-Bedingung müßte es AFAIK "&&" heißen, denn eine der beiden Bedingungen wird immer TRUE ergeben... Nicht dass es eine große Rolle spielt, aber in der if-Bedingung müßte es AFAIK “&&” heißen, denn eine der beiden Bedingungen wird immer TRUE ergeben…

]]> By: Frank http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/comment-page-1/#comment-2497 Frank Tue, 13 Apr 2010 22:11:08 +0000 http://www.adminlife.net/?p=2208#comment-2497 @Stefan: da kommt man extrem schnell hin. Standard sind nämlich nur 16 Gruppen, IIRC. Ich hatte über NFS mal eine kleine Nutzerstruktur aufgebaut, wo es so ca. 8-10 Gruppen gab und die Nutzer in verschiedener Kombination etwas auf dem NFS Server zugreifen sollten. Da musste dann ein Patch ran, ansonsten fehlten den einzelnen Nutzern ein oder zwei Gruppen, sprich das meiste ging, aber ein paar Verzeichnisse waren nicht zugreifbar... Mit der Doku geb ich dir prinzipiell Recht, aber /etc/sudoers zählt doch eigentlich als Doku ;) @Stefan: da kommt man extrem schnell hin. Standard sind nämlich nur 16 Gruppen, IIRC.

Ich hatte über NFS mal eine kleine Nutzerstruktur aufgebaut, wo es so ca. 8-10 Gruppen gab und die Nutzer in verschiedener Kombination etwas auf dem NFS Server zugreifen sollten. Da musste dann ein Patch ran, ansonsten fehlten den einzelnen Nutzern ein oder zwei Gruppen, sprich das meiste ging, aber ein paar Verzeichnisse waren nicht zugreifbar…

Mit der Doku geb ich dir prinzipiell Recht, aber /etc/sudoers zählt doch eigentlich als Doku ;)

]]> By: stefan http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/comment-page-1/#comment-2496 stefan Tue, 13 Apr 2010 21:48:22 +0000 http://www.adminlife.net/?p=2208#comment-2496 @Christian: ja, aber man möchte ein Audit-Log schreiben, daher der Vorschlag, sudo zu benutzen. Außerdem soll ja der User vielleicht garnicht sehen können, was in der Datei steht, daher wäre 750 vielleicht eher ungünstig. Prinzipiell hast du natürlich recht, es geht auch anders, je nach Use-Case usw. :) @Frank: naja, so schnell wird man hier wohl nicht an das Gruppenlimit kommen! ;) Außerdem: Doku schreiben, in der steht, was warum eingerichtet wurde, sollte man schon, alles andere gehört sich nicht, sofern man den Anspruch hat, professionell zu sein... @Christian: ja, aber man möchte ein Audit-Log schreiben, daher der Vorschlag, sudo zu benutzen. Außerdem soll ja der User vielleicht garnicht sehen können, was in der Datei steht, daher wäre 750 vielleicht eher ungünstig.

Prinzipiell hast du natürlich recht, es geht auch anders, je nach Use-Case usw. :)

@Frank: naja, so schnell wird man hier wohl nicht an das Gruppenlimit kommen! ;)
Außerdem: Doku schreiben, in der steht, was warum eingerichtet wurde, sollte man schon, alles andere gehört sich nicht, sofern man den Anspruch hat, professionell zu sein…

]]> By: Frank http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/comment-page-1/#comment-2495 Frank Tue, 13 Apr 2010 21:37:06 +0000 http://www.adminlife.net/?p=2208#comment-2495 Gruppen haben das Problem, dass sie z.B. über NFS zahlenmäßig limitiert sind. Außerdem verliert man schnell den Überblick für was die Gruppe gut war, gerade wenn man für jeden Kleinsch... eine Neue anlegt. Gruppen haben das Problem, dass sie z.B. über NFS zahlenmäßig limitiert sind. Außerdem verliert man schnell den Überblick für was die Gruppe gut war, gerade wenn man für jeden Kleinsch… eine Neue anlegt.

]]> By: Christian http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/comment-page-1/#comment-2494 Christian Tue, 13 Apr 2010 20:33:38 +0000 http://www.adminlife.net/?p=2208#comment-2494 Ähm, mal ganz doof, reichts nicht eine Gruppe für die beiden anzulegen (Beispiel suser), dann <code>chown root:suser domain-delete.sh</code> gefolgt von <code>chmod 750 domain-delete.sh</code> Nur mal so ne Überlegung... Ähm, mal ganz doof, reichts nicht eine Gruppe für die beiden anzulegen (Beispiel suser), dann chown root:suser domain-delete.sh gefolgt von chmod 750 domain-delete.sh

Nur mal so ne Überlegung…

]]> By: Andreas http://www.adminlife.net/allgemein/security-fail-pt2-userauthentifizierung-in-bash/comment-page-1/#comment-2493 Andreas Tue, 13 Apr 2010 20:25:09 +0000 http://www.adminlife.net/?p=2208#comment-2493 oder sich mal op anschauen. Auch sehr nett und es hat mittlerweile den Vorzug vor sudo bei mir bekommen. oder sich mal op anschauen. Auch sehr nett und es hat mittlerweile den Vorzug vor sudo bei mir bekommen.

]]>